VERWANDTE
ANMELDUNGRELATIVE
REGISTRATION
Diese
Anmeldung ist eine Teilweiterverfolgung der US-Patentanmeldung laufende
Nr. 10/352,396 mit dem Titel „Process
Control System with an Embedded Safety System", welche am 28. Januar 2003 eingereicht
wurde, deren Offenbarung hiermit durch Bezug hierin ausdrücklich mitaufgenommen
wird.This
Application is a partial follow-up to the U.S. patent application pending
No. 10 / 352,396 with the title “Process
Control System with an Embedded Safety System ", which was submitted on January 28, 2003
the disclosure of which is hereby expressly incorporated by reference herein
becomes.
GEBIET DER
TECHNIKAREA OF
TECHNOLOGY
Die
vorliegende Erfindung bezieht sich allgemein auf Sicherheitssysteme,
die in Prozessanlagen verwendet werden und im Spezielleren auf ein
Sicherheitssystem, das funktional oder logisch in einem Prozesssteuerungssystem
einer Prozessanlage eingebettet oder darin integriert ist.The
present invention relates generally to security systems,
which are used in process plants and in particular on one
Safety system that is functional or logical in a process control system
a process plant is embedded or integrated into it.
BESCHREIBUNG
DES VERWANDTEN STANDS DER TECHNIKDESCRIPTION
RELATED ART
Prozesssteuerungssysteme,
wie diejenigen, die in chemischen, Erdöl- oder anderen Prozessen eingesetzt
werden, umfassen typischerweise eine oder mehrere Prozesssteuerung/en,
die über
analoge, digitale, oder kombinierte analoge/digitale Busse kommunikativ
mit mindestens einem Host- oder Bedienerarbeitsplatzrechner und
einem oder mehreren Feldgeräten
gekoppelt sind. Die Feldgeräte,
welche beispielsweise Ventile, Ventilstellglieder, Schalter und
Messwertgeber (z.B. Temperatur-, Druck- und Fließgeschwindigkeitssensoren)
sein können,
erfüllen
Aufgaben innerhalb der Prozessanlage, wie Öffnen und Schließen von
Ventilen, und Messen von Prozessparametern. Die Prozesssteuerungen
empfangen Signale, die von den Feldgeräten durchgeführte Prozessmessungen
und/oder andere die Feldgeräte
betreffenden Informationen anzeigen, verwenden diese Informationen,
um Steuerroutinen zu implementieren und dann Steuersignale zu erzeugen,
die über
die Busse an die Feldgeräte
geschickt werden, um den Ablauf des Prozesses zu steuern. Informationen
aus den Feldgeräten
und den Steuerungen werden typischerweise einer oder mehreren Anwendungen
zur Verfügung
gestellt, die vom Bedienerarbeitsplatzrechner ausgeführt werden,
um einen Bediener in die Lage zu versetzen, irgendeine gewünschte Aufgabe
im Hinblick auf den Prozess zu erfüllen, wie Konfigurieren des
Prozesses, den momentanen Zustand des Prozesses zu überblicken, den
Ablauf des Prozesses zu verändern,
etc.Process control systems,
like those used in chemical, petroleum, or other processes
typically include one or more process controls
the above
analog, digital, or combined analog / digital buses communicative
with at least one host or operator workstation computer and
one or more field devices
are coupled. The field devices,
which, for example, valves, valve actuators, switches and
Transducers (e.g. temperature, pressure and flow velocity sensors)
could be,
fulfill
Tasks within the process plant, such as opening and closing
Valves, and measurement of process parameters. The process controls
receive signals, the process measurements carried out by the field devices
and / or others the field devices
view relevant information, use that information,
to implement control routines and then generate control signals
the above
the buses to the field devices
be sent to control the flow of the process. information
from the field devices
and the controls are typically one or more applications
to disposal
which are executed by the operator workstation computer,
to enable an operator to perform any desired task
with regard to the process of how to configure the
Process to survey the current state of the process
Change the course of the process,
Etc.
Darüber hinaus
ist bei vielen Prozessen ein separates Sicherheitssystem vorgesehen,
um signifikante sicherheitsbezogene Probleme innerhalb der Prozessanlage
zu erfassen und Ventile automatisch zu schließen, Geräte stromfrei zu schalten, Durchflussmengen
innerhalb der Anlage zu regeln, etc., wenn ein Problem auftritt,
das in einer ernsthaften Gefahr in der Anlage, wie einem Auslaufen
giftiger Chemikalien, einer Explosion, etc. enden oder dazu führen könnte. Diese
Sicherheitssysteme besitzen neben den Prozesssteuerungssteuerungen
typischerweise noch einen oder mehrere separate Steuerungen, die über separate,
innerhalb der Prozessanlage angeordnete Busse oder Kommunikationsleitungen
an die Feldgeräte
angeschlossen sind. Die Sicherheitssteuerungen verwenden die Sicherheitsfeldgeräte, um Prozessbedingungen
zu erfassen, die mit signifikanten Ereignissen zusammenhängen, wie die
Position bestimmter Sicherheitsschalter oder Abschaltventile, Über- oder
Unterlaufbedingungen im Prozess, den Betrieb wichtiger Stromerzeugungs- oder
Steuergeräte,
den Betrieb von Fehlererfassungsgeräten, etc., um dadurch „Ereignisse" innerhalb der Prozessanlage
zu erfassen. Wird ein Ereignis erfasst, ergreift die Sicherheitssteuerung
irgendeine Maßnahme,
um die schädliche
Auswirkung des Ereignisses einzuschränken, wie Ventile zu schließen, Geräte abzuschalten,
Abschnitte der Anlage stromfrei zu schalten, etc.Furthermore
a separate security system is provided for many processes,
to significant safety-related problems within the process plant
to be recorded and valves closed automatically, devices switched off, flow rates
to regulate within the plant, etc., if a problem arises,
that in a serious danger in the plant, like a leak
toxic chemicals, an explosion, etc. This
In addition to the process control controls, safety systems have
typically one or more separate controls that have separate,
buses or communication lines arranged within the process plant
to the field devices
are connected. The safety controls use the safety field devices to process conditions
to grasp that are related to significant events, such as the
Position of certain safety switches or shut-off valves, over- or
Underflow conditions in the process, the operation of important electricity generation or
Control devices,
the operation of fault detection devices, etc., thereby "events" within the process plant
capture. If an event is detected, the safety controller takes action
any measure
to the harmful
To limit the impact of the event, such as closing valves, switching off devices,
Switch off sections of the system, etc.
Eine
Entkopplung zwischen Prozesssteuerungen und Sicherheitssteuerungen
wird als wichtig erachtet (und wird häufig durch geltende staatliche Richtlinien
angeordnet), weil eine Verwendung einer Prozesssteuerung zur Durchführung von
Sicherheitsaufgaben zum gleichzeitigen Ausfall der Sicherheits- und
Prozesssteuerungsfunktionen führt,
wenn die Prozesssteuerung ausfällt.
Die Sicherheitsfunktionen werden jedoch dann am Kritischsten, wenn
die Prozesssteuerung ausfällt,
weil dabei der Prozess teilweise oder gänzlich außer Kontrolle ist.A
Decoupling between process controls and safety controls
is considered important (and is often enforced by applicable government guidelines
arranged) because a use of a process control to perform
Security tasks for the simultaneous failure of security and
Process control functions,
if the process control fails.
However, the security features become most critical when
the process control fails,
because the process is partly or completely out of control.
Die
Entkopplung zwischen den Prozesssteuerungen und den Sicherheitssteuerungen
in Prozessanlagen hat dazu geführt,
dass diese Systeme von unterschiedlichen Personen entwickelt wurden, die
unterschiedliche Hard- und Software verwenden. Tatsächlich wird
in manchen Fällen,
weil die Sicherheitssysteme nicht die Hard- und Softwareinfrastruktur
des Prozesssteuerungssystems verwenden, an verschiedenen Stellen
innerhalb derselben Prozessanlage eine unterschiedliche und vollkommen
unzusammenhängende
Sicherheitssystemhardware und -software etwa an verschiedenen Knoten
verwendet. Jedenfalls führt
die Entkopplung zwischen dem Prozesssteuerungssystem und dem Sicherheitssystem zu
einer Anzahl unterschiedlicher und unzusammenhängender Sicherheitssysteme
in derselben Anlage, die separat konfiguriert und überwacht
werden müssen.
Im Ergebnis wird typischerweise eine unterschiedliche Kommunikationsinfrastruktur
eingesetzt, um diese unterschiedlichen Systeme innerhalb derselben
Anlage zu implementieren, wobei unterschiedliche Konfigurations-
und Diagnoseanwendungen und Arbeitsplatzrechner verwendet werden,
um diese gesonderten Systeme zu konfigurieren und zu überwachen.
Gleichermaßen
wird typischerweise unterschiedliches Personal zur Durchführung der
Konfigurations-, Diagnose- und Überwachungstätigkeiten bzw.
-vorgänge
im Hinblick auf diese unterschiedlichen Systeme benötigt, was
insgesamt zu zusätzlichen
Kosten beim Konfigurieren und Betreiben einer Prozessanlage führt, die
ein Sicherheitssystem verwendet. Da sich die Konfigurations- und
Diagnosesoftware des Sicherheitssystems von der Konfigurations-
und Diagnosesoftware des Steuerungssystems unterscheidet, müssen Personen
in diesen unterschiedlichen Softwareprogrammen getrennt geschult
werden, was zu einer erhöhten
Schulungszeit führt.The decoupling between the process controls and the safety controls in process plants has meant that these systems were developed by different people who use different hardware and software. In fact, in some cases, because the security systems do not use the hardware and software infrastructure of the process control system, different and completely disjointed security system hardware and software is used at different locations within the same process plant, for example at different nodes. In any case, the decoupling between the process control system and the safety system leads to a number of different and disjointed safety systems in the same system, which must be configured and monitored separately. As a result, a different communication infrastructure is typically used to implement these different systems within the same system, whereby under Different configuration and diagnostic applications and workstations are used to configure and monitor these separate systems. Likewise, different personnel are typically required to perform the configuration, diagnostic and monitoring activities or processes with regard to these different systems, which overall leads to additional costs when configuring and operating a process plant which uses a safety system. Since the configuration and diagnostic software of the safety system differs from the configuration and diagnostic software of the control system, people in these different software programs have to be trained separately, which leads to an increased training time.
Es
wurden in der Vergangenheit Versuche unternommen, Daten aus den
in derselben Anlage vorhandenen Prozesssteuerungs- und Sicherheitssystemen
auf ein und derselben Benutzeroberfläche zu integrieren, um dadurch
das bildliche Darstellen und Handhaben dieser unterschiedlichen
Daten an ein und derselben Stelle zu ermöglichen. Diese Integration
findet aber erst nach der Tatsache statt, dass herkömmliche
Konfigurations-, Sicht- und Diagnoseanwendungen des Steuersystems
als zugrundeliegende Softwareplattform verwendet wird und dann die
Sicherheitssystemdaten in die Steuerungssystemsoftware importiert
werden. Unglücklicherweise stellen
herkömmliche
Steuerungssysteme nicht die Flexibilität bereit, Sicherheitssystemdaten
von Steuerungssystemdaten zu unterscheiden. Wenn erst einmal die
Sicherheitssysteminformation in den Steuerungssystemanwendungen
integriert ist, erscheinen im Ergebnis die dem Benutzer angezeigten
Sicherheitssystemwerte als dieselben wie die Steuerungssystemwerte,
was es schwierig macht, die Sicherheitssystemdaten nachzuverfolgen
oder zu unterscheiden.It
Attempts have been made in the past to extract data from the
Process control and safety systems in the same plant
to integrate on one and the same user interface to thereby
the visualization and handling of these different
To enable data in the same place. This integration
but only takes place after the fact that conventional
Configuration, vision and diagnostic applications of the control system
is used as the underlying software platform and then the
Safety system data imported into the control system software
become. Unfortunately, ask
conventional
Control systems do not have the flexibility to provide security system data
to be distinguished from control system data. Once that
Safety system information in control system applications
is integrated, the results displayed to the user appear in the result
Safety system values as the same as the control system values,
which makes it difficult to track security system data
or differentiate.
Darüber hinaus
erfordern diese integrierten Anzeigesysteme typischerweise, dass
die Sicherheitssystemdaten der Steuerungssystemkonfiguration zugeordnet
werden, damit ein Benutzer erfährt, woher
die Sicherheitssystemdaten im Hinblick auf die Steuerungssystemhardware
stammen. In diesen Fällen
wird eine separate Software innerhalb einer Benutzeroberfläche verwendet,
um Daten zwischen den beiden Systemen aufgrund der unterschiedlichen
Architekturen zuzuordnen, die zur Definition der Daten (oder der
Identifizierungs-Kennzeichen, die die Herkunft oder Bestimmung der
Daten angeben) verwendet werden, die mit den beiden Systemen zusammenhängen. Diese
Datenzuordnungsverfahren erfordern, dass eine zusätzliche
Benutzerprogrammierung sowohl installiert als auch gepflegt wird,
und können
aufgrund von Fehlern, die durch die Zuordnungsfunktion eingeschleppt
werden, zu fehlerhaften Daten führen.Furthermore
these integrated display systems typically require that
assigned the safety system data to the control system configuration
so that a user can find out where
the safety system data with respect to the control system hardware
come. In these cases
separate software is used within a user interface,
to differentiate data between the two systems
Assign architectures that define the data (or the
Identification marks that indicate the origin or destination of the
Specify data) that are related to the two systems. This
Data mapping procedures require an additional one
User programming is both installed and maintained,
and can
due to errors introduced by the mapping function
will lead to incorrect data.
Noch
weiter darüber
hinaus, lässt
sich Sicherheit in Systemen schwieriger handhaben, welche versuchen,
Sicherheitssystemdaten in einer herkömmlichen Steuerungssystemanwendung
zu integrieren. Während
manche Benutzeroberflächen- oder
Mensch-Maschine-Schnittstellenprodukte (Mensch-Maschine-Schnittstelle – HMI – Human
Machine Interface) (im Gegensatz zu Steuerungssystemen) in der Lage
sind, eine eindeutige Sicherheit über einzelne HMI-Datenwerte/Kennzeichen
(„tags") bereitzustellen,
muss innerhalb der HMI immer noch ein zusätzliches Benutzerprogramm installiert
werden, um sicherzustellen, dass jeder Wert und/oder jedes Kennzeichen
korrekt als vom Sicherheitssystem stammend gekennzeichnet ist, um
sicherzustellen, dass diese Sicherheit aufgerufen wird. Diese Funktion
ist von Natur aus fehleranfälliger
und von daher weniger sicher, weil sie von der die HMI programmierenden
und pflegenden Person abhängt,
die sicherstellen soll, dass alle Werte aus dem Sicherheitssystem
korrekt der Steuersystemschnittstelle zugeordnet sind. Darüber hinaus
macht solch ein Zuordnungsverfahren die HMI-Sicherheit kritisch, was das Sicherheitsinstrumentierungssystem
verkompliziert, was es schwieriger macht, den Grad an Sicherheitsintegrität zu prüfen und
nachzuweisen.Yet
further about it
out, lets
security is more difficult to handle in systems that try to
Security system data in a conventional control system application
to integrate. While
some user interface or
Human-machine interface products (human-machine interface - HMI - Human
Machine interface) (in contrast to control systems)
are clear security about individual HMI data values / indicators
("Tags") to provide
an additional user program must still be installed within the HMI
to ensure that each value and / or identifier
is correctly identified as originating from the security system in order to
ensure that this security is called. this function
is inherently more prone to errors
and therefore less secure because it is from the HMI programming
and caring person,
which is to ensure that all values from the security system
are correctly assigned to the control system interface. Furthermore
such an assignment procedure makes HMI security critical to what the security instrumentation system
complicates what makes it more difficult to check the level of security integrity and
demonstrated.
Im
Ergebnis mangelt es diesen Benutzeroberflächenintegrationssystemen an
der Fähigkeit, Lese-
und Schreibwerte des Sicherheitsinstrumentierungssystems direkt
in eine Benutzergraphik zu stellen, ohne dass dabei eine Zuordnung
zwischen der Steuerungs- und Sicherheitssystemkonfiguration oder
eine spezielle in den Sicherheitssystemsteuerungen untergebrachte
Sicherheitsinstrumentierungssteuerlogik erforderlich wäre, die
eine „Firewall" zwischen der Benutzeroberfläche und
der Logik des Sicherheitsinstrumentierungssystems herstellt, um dadurch
unbefugte Einschreibevorgänge
in das Sicherheitsinstrumentierungssystem zu verhindern. Darüber hinaus
mangelt es diesen bekannten integrierten Benutzeroberflächensystemen
an einem sicheren Schreibmechanismus, der sicherstellt, dass keine
Verfälschung
des eingegebenen Werts oder Pfads während eines Einschreibvorgangs
in das Sicherheitsinstrumentierungssystem stattfindet, und es mangelt
ihnen auch an einem eindeutigen, in das Steuerungssystem eingebauten
Sicherheitsschutz, der gewährleistet,
dass alle Einschreibvorgänge
von Werten entweder aus einer Prozessgraphik oder irgendeiner anderen
Anwendung, die Werte in das Sicherheitsinstrumentierungssystem einschreiben kann,
in das Sicherheitsinstrumentierungssystem spezielle Rechte oder
Berechtigungen erfordert.in the
As a result, these user interface integration systems lack
the ability to read
and write values of the safety instrumentation system directly
in a user graphic without making an assignment
between the control and safety system configuration or
a special one housed in the security system controls
Safety instrumentation control logic would be required
a "firewall" between the user interface and
the logic of the safety instrumentation system to thereby
unauthorized enrollment
to prevent in the security instrumentation system. Furthermore
these known integrated user interface systems are lacking
a secure write mechanism that ensures that none
adulteration
the entered value or path during a registration process
takes place in the security instrumentation system and it lacks
a clear, built-in control system
Security protection that ensures
that all enrollments
of values either from a process graphic or any other
Application that can write values into the safety instrumentation system,
special rights in the security instrumentation system or
Permissions required.
Zusätzlich wurden
die Konfigurationen des Sicherheitssystems und des Steuerungssystems
typischerweise unter Verwendung von an separaten Stellen innerhalb
der Prozessanlage gespeicherten, unterschiedlichen Konfigurationsanwendungen
erstellt und bildlich dargestellt, und es bestand wenig oder gar
keine Interaktion (wechselseitige Verbindung) zwischen Konfigurationsdaten
des Sicherheitssystems und Konfigurationsdaten des Steuerungssystems.
Im Ergebnis ist es für
einen Benutzer schwierig, auf eine umfassende Weise die Konfiguration
des Steuerungssystems und des Sicherheitssystems integriert darzustellen
oder diese nachzuvollziehen, z.B. auf eine Weise, die die Art und
Weise anzeigt oder darstellt, auf die diese beiden Systeme miteinander
interagieren, oder auf die die Geräte und die Logik, die mit den
unterschiedlichen Systemen zusammenhängen, physikalisch und logisch
mit der Anlage verschaltet sind.In addition, the configurations of the safety system and the control system were typically made using separate ones Various configuration applications stored within the process plant were created and depicted, and there was little or no interaction (reciprocal connection) between configuration data of the safety system and configuration data of the control system. As a result, it is difficult for a user to comprehensively represent or understand the configuration of the control system and the safety system in a comprehensive manner, for example in a way that indicates or represents the way in which these two systems interact with one another or on which physically and logically interconnect the devices and the logic associated with the different systems with the system.
Genauso
wurden Diagnoseanwendungen, die mit Steuerungs- und Sicherheitssystemen zusammenhängen, wie
Alarm-, Test- und andere Diagnosewerkzeuge in vielen Fällen separat
ausgebildet, was es einem Einzelbenutzer schwer macht, nachzuvollziehen,
wie Probleme in einem System sich auf Probleme innerhalb des anderen
Systems auswirken oder damit zusammenhängen können. Zusätzlich haben diese separaten
Diagnoseanwendungen dazu geführt,
dass die Alarm- und anderen Diagnosedaten, die mit den unterschiedlichen
Systemen zusammenhängen,
typischerweise unterschiedlichen Benutzern auf verschiedenen Anzeigen
angezeigt werden, oder auf derselben Anzeige zu unterschiedlichen
Zeiten mittels unterschiedlicher Programme. Diese nicht integrierte
Verwendung und Anzeige von Diagnosedaten macht es noch schwieriger,
den Betrieb der gesamten Anlage und die Art und Weise, auf die das
Sicherheitssystem mit dem Prozesssteuerungssystem während des
Betriebs der Anlage zusammenwirkt, nachzuvollziehen.Just like that
diagnostic applications related to control and safety systems, such as
Alarm, test and other diagnostic tools in many cases separately
trained, which makes it difficult for an individual user to understand
how problems in one system relate to problems within the other
Systems impact or may be related. They also have separate ones
Diagnostic applications led to
that the alarm and other diagnostic data associated with the different
Systems,
typically different users on different ads
displayed, or different on the same display
Times using different programs. This not integrated
Using and viewing diagnostic data makes it even more difficult
the operation of the entire plant and the way in which it
Safety system with the process control system during the
Operation of the system interacts.
Während, wie
oben angegeben, bekannt ist, eine integrierte Anzeige der Prozesssteuerungsalarme
und der Sicherheitssystemalarme vorzusehen, werden die Sicherheitssystemalarme
im Wesentlichen in der Alarmanzeigenumgebung des Prozesssteuerungssystems
als Prozesssteuerungssystemalarm verzeichnet. Im Ergebnis werden
die Sicherheitssystemalarme im Wesentlichen als Prozessteuerungssystemalarme
dargestellt, was es für
Benutzer der Alarmanzeige schwierig macht, Sicherheitssystem- von
Prozesssteuerungssystemalarmen problemlos zu trennen oder diese
zu erkennen. Weil die Sicherheitssystemalarme zu Anzeigezwecken
in Prozesssteuerungssystemalarme umgewandelt werden müssen, werden
zusätzlich
die umgewandelten Sicherheitssystemalarme zu dem Zeitpunkt mit einem Zeitstempel
versehen, zu dem sie im Prozesssteuerungssystem generiert werden,
d.h. wenn die Alarme durch die Anzeigeanwendung umgewandelt werden, anstatt
zu dem Zeitpunkt mit einem Zeitstempel versehen zu werden, zu dem
diese Alarme tatsächlich im
Sicherheitssystem erfasst werden. Im Ergebnis gehen die Daten verloren,
die den tatsächlichen
Zeitpunkt betreffen, zu dem die Sicherheitsdaten im Sicherheitssystem
generiert wurden, was zu irreführender
Information zu Zwecken der Alarmprotokollierung, Alarmquittierung
und Alarmbeantwortung führt.While how
Known above is an integrated display of process control alarms
and to provide the security system alarms, are the security system alarms
essentially in the alarm display environment of the process control system
listed as a process control system alarm. As a result
the security system alarms are essentially process control system alarms
depicted what it is for
User of the alarm display makes security system difficult
Easily separate process control system alarms or these
to recognize. Because the security system alarms are for display purposes
must be converted into process control system alarms
additionally
the converted security system alarms at the time with a time stamp
for which they are generated in the process control system,
i.e. if the alarms are converted by the display application instead
to be timestamped at the time that
these alarms are actually in
Security system are captured. As a result, the data is lost,
the actual
Affect the point in time at which the security data in the security system
were generated, leading to misleading
Information for purposes of alarm logging, alarm acknowledgment
and alarm response.
ZUSAMMENFASSUNG
DER OFFENBARUNGSUMMARY
THE REVELATION
Eine
Prozessanlage umfasst ein Sicherheitssystem, das physikalisch und
logisch auf eine Weise in ein Prozesssteuerungssystem eingegliedert
ist, die es ermöglicht,
dass das Sicherheitssystem und das Prozesssteuerungssystem eine
gemeinsame Hard- und Software für
Kommunikation, Konfiguration, Diagnose und Anzeige innerhalb der
Prozessanlage verwenden können,
während
sie gleichzeitig immer noch eine funktionale Entkopplung zwischen
den Sicherheitssystemsteuerungen und den Prozesssteuerungssystemsteuerungen
vorsieht. Wie typisch ist, sind separate Sicherheitssystemsteuerungen über eine
Sicherheitskommunikationsinfrastruktur an Sicherheitsfeldgeräte angeschlossen,
während
Prozesssteuerungssystemsteuerungen über standardmäßige Steuerungssystembusse
oder Kommunikationsleitungen an die Steuerungssystemfeldgeräte angeschlossen
sind. Jedoch sind die Sicherheitssystemsteuerungen kommunikativ
mit den Prozesssteuerungssystemsteuerungen über einen Bus oder einen anderen
Kommunikationskanal verbunden und jeweils mit einem oder mehreren
Bedienerarbeitsplatzrechnern innerhalb der Prozessanlage über ein gemeinsames
Kommunikationsnetz verbunden, wodurch es möglich ist, dass die Software
in den Bedienerarbeitsplatzrechnern sowohl mit den Prozesssteuerungssteuerungen
(und damit zusammenhängenden
Prozesssteuerungsfeldgeräten)
als auch den Sicherheitssystemsteuerungen (und damit zusammenhängenden
Sicherheitsfeldgeräten)
kommunizieren und diese konfigurieren und deren Betrieb bildlich
darstellen kann.A
Process plant includes a safety system that is physical and
logically integrated into a process control system in a way
is that enables
that the security system and the process control system are one
common hardware and software for
Communication, configuration, diagnosis and display within the
Process plant can use
while
they still have a functional decoupling between
the safety system controls and the process control system controls
provides. As is typical, separate security system controls are over one
Safety communication infrastructure connected to safety field devices,
while
Process control system controls via standard control system buses
or communication lines connected to the control system field devices
are. However, the security system controls are communicative
with the process control system controls via a bus or another
Communication channel connected and each with one or more
Operator workstations within the process plant via a common
Communication network connected, which makes it possible for the software
in the operator workstations with both the process control controls
(and related
Process control field devices)
as well as the security system controls (and related
Safety field devices)
communicate and configure them and their operation visually
can represent.
Diese
Integration beinhaltet die Verwendung einer gemeinsamen Datenkommunikationsstruktur für sowohl
das Sicherheitssystem als auch das Prozesssteuerungssystem, so dass
Anwendungen Daten an die Geräte
in jedem System auf dieselbe Weise schicken und von diesen empfangen
können,
z.B. unter Verwendung derselben Kommunikationshardware und -software.
Die gemeinsame Datenkommunikationsstruktur kann aber Prozesssteuerungsgeräte von Sicherheitsgeräten unterscheiden,
indem sie Kennzeichen, Adressen oder andere Felder innerhalb der
an die Geräte
geschickten oder von diesen empfangenen Nachrichten verwendet, wodurch
Daten, die mit dem Prozesssteuerungssystem zusammenhängen, von
Daten unterscheidbar sind, die mit dem Sicherheitssystem zusammenhängen, wodurch eine
Anwendung innerhalb einer Benutzoberfläche in die Lage versetzt wird,
diese Daten je nach der Herkunft (oder Bestimmung) der Daten unterschiedlich zu
behandeln.This integration involves the use of a common data communication structure for both the security system and the process control system so that applications can send and receive data to the devices in each system in the same way, for example using the same communication hardware and software. However, the common data communication structure can distinguish process control devices from safety devices by using tags, addresses, or other fields within the messages sent to or received from the devices, whereby data related to the process control system is distinguishable from data related to the safety system , which enables an application within a user interface to process this data depending on the origin treat the future (or destination) of the data differently.
In
einem Beispiel können
Anzeige-, Konfigurations-, Steuerungs- und Diagnoseanwendungen ermöglichen,
dass Einschreibevorgänge
(oder Auslesevorgänge)
sowohl in die (aus den) Prozesssteuerungssystemgeräte(n) als
auch Sicherheitssystemgeräte(n)
vorgenommen werden können,
während die
Einschreibvorgänge
in die Sicherheitssystemgeräte
automatisch mit Sicherheitsprozeduren zwangsbeaufschlagt werden,
die für
die Einschreibvorgänge in
die Prozesssteuerungssystemgeräte
nicht notwendig sind, oder umgekehrt. Diese Einschreibevorgänge können aber
von derselben Anzeige freigegeben werden, die Einschreibevorgänge in das
Sicherheitssystem von Einschreibevorgängen in das Prozesssteuerungssystem
basierend auf der Anzeige unterscheidet, in welche die einzuschreibenden
Daten gestellt wurden. Auf diese Weise können die Anzeige-, Konfigurations-,
Steuerungs- und Diagnoseanwendungen Einschreibungen in jedes System
vornehmen, ohne die Daten aus dem Prozesssteuerungssystem dem Sicherheitssystem
oder umgekehrt zuordnen zu müssen.In
an example
Enable display, configuration, control, and diagnostic applications
that enrollment
(or reading processes)
both in (out of) the process control system device (s) as
also security system devices
can be made
while the
Write operations
into the security system devices
are automatically enforced with security procedures,
the for
the enrollment processes in
the process control system devices
are not necessary, or vice versa. These registration processes can, however
released by the same ad that enrolls in the
Security system of registration processes in the process control system
based on the ad in which the enrolled
Data was provided. In this way, the display, configuration,
Control and diagnostic applications enrollment in any system
make without the data from the process control system to the security system
or vice versa.
Zusätzlich können Konfigurations-
und Diagnoseanwendungen eine gemeinsame Schnittstelle bereitstellen,
um Konfigurations- und Diagnosevorgänge innerhalb der Prozessanlage
für sowohl
das Prozesssteuerungssystem als auch das Sicherheitssystem durchzuführen. Insbesondere
kann es eine Konfigurationsanwendung einem Benutzer ermöglichen,
das Prozesssteuerungssystem und/oder das Sicherheitssystem zu konfigurieren,
und kann die Konfigurationsinformation in einer gemeinsamen Datenbank
mit bekannten Assoziationen zwischen den Prozesssteuerungssystemgeräten (der
Prozesssteuerungssystemgerätelogik)
und den Sicherheitssystemgeräten
(der Sicherheitssystemgerätelogik)
abspeichern, um es leichter zu machen, die wechselseitigen Beziehungen
zwischen der Steuerungssystem- und der Sicherheitssystemkonfiguration
nachzuvollziehen. Noch weiter darüber hinaus kann eine gemeinsame
Bildschirmmaske sowohl die Konfigurationsinformation des Prozesssteuerungssystems
als auch die Konfigurationsinformation des Sicherheitssystems anzeigen,
und Daten, die in einem dieser Systeme generiert wurden, können bei
der Konfiguration oder Implementierung des anderen dieser Systeme
verwendet werden, ohne dass dabei ein gesonderter Zuordnungsvorgang
durchgeführt
wird. Diese gemeinsame oder integrierte Konfigurationsanwendung
macht es leichter, die gesamte Anlage unter Verwendung einer einzigen
Konfigurationsanwendung zu konfigurieren, was wiederum die Notwendigkeit
aus der Welt schafft, dieselben oder verschiedene Benutzer in unterschiedlichen
Konfigurationsanwendungen zu schulen.In addition, configuration
and diagnostic applications provide a common interface,
about configuration and diagnostic processes within the process plant
for both
perform the process control system as well as the safety system. In particular
a configuration application can allow a user
configure the process control system and / or the safety system,
and the configuration information in a common database
with known associations between the process control system devices (the
Process control system devices logic)
and the security system devices
(the security system device logic)
save the mutual relationships to make it easier
between the control system and the safety system configuration
understand. Even more can be a common one
Screen mask both the configuration information of the process control system
as well as display the configuration information of the security system,
and data generated in one of these systems can be used at
the configuration or implementation of the other of these systems
can be used without a separate assignment process
carried out
becomes. This common or integrated configuration application
makes it easier to use the entire facility using a single one
Configure configuration application, which in turn the need
creates the same or different users in different
Train configuration applications.
Gleichermaßen können Diagnoseanwendungen
so programmiert werden, dass sie Daten sowohl aus dem Prozesssteuerungs- als auch aus dem Sicherheitssystem
verwenden, indem sie eine integrierte Diagnose durchführen, ohne
die Herkunft der Diagnosedaten aus den Augen zu verlieren. Beispielsweise
kann eine Alarmanzeigeanwendung verwendet werden, um sowohl die
Prozesssteuerungssystem- als auch die Sicherheitssystemalarme auf derselben
Oberfläche
anzuzeigen, die Alarme nach Priorität zu ordnen und einen gewissen
Hinweis auf das Verhältnis
unter diesen Alarmen bereitzustellen, z.B., dass ein bestimmter
Prozesssteuerungssystemalarm in gewisser Weise mit einem bestimmten
Sicherheitssystemalarm in Beziehung steht. Da diese Alarme unter
Verwendung eines gemeinsamen Kommunikationsformats, das zwischen
Sicherheitssystem- und Prozesssteuerungssystemgeräten unterscheidet,
an die Diagnoseanwendung geschickt werden, kann die Diagnoseanwendung
erfassen, ob ein Alarm im Prozesssteuerungs- oder Sicherheitssystem
generiert wurde, und kann beide Alarmarten anzeigen, ohne dabei
aus den Augen zu verlieren, wo und wann diese Alarme generiert wurden.Equally, diagnostic applications can
be programmed to include data from both the process control and security systems
use by performing integrated diagnostics without
to lose sight of the origin of the diagnostic data. For example
an alarm display application can be used to monitor both the
Process control system as well as safety system alarms on the same
surface
display, order the alarms by priority and a certain
Reference to the relationship
to provide under these alarms, e.g. that a particular
Process control system alarm in some way with a specific one
Security system alarm related. Because these alarms below
Using a common communication format between
Security system and process control system devices,
can be sent to the diagnostic application
detect whether there is an alarm in the process control or safety system
was generated, and can display both types of alarm without doing so
lose track of where and when these alarms were generated.
KURZE BESCHREIBUNG
DER ZEICHNUNGENSHORT DESCRIPTION
THE DRAWINGS
1 ist ein Blockschema einer
beispielhaften Prozessanlage mit einem Sicherheitssystem, das in
einem Prozesssteuerungssystem integriert ist und Schnittstellen-,
Konfigurations- und Diagnoseanwendungen beinhaltet, die integrierte
Sicherungs-, Konfigurations- und Diagnosevorgänge im Hinblick auf das Prozesssteuerungs-
und Sicherheitssystem bereitstellt; 1 Figure 3 is a block diagram of an example process plant with a safety system integrated into a process control system and including interface, configuration and diagnostic applications that provides integrated backup, configuration and diagnostic operations related to the process control and safety system;
2 ist ein Blockschema mehrerer
Sicherheitssystemsteuerungen, die über ein erstes Kommunikationsnetz
kommunikativ miteinander verbunden und zusätzlich über ein zweites und gemeinsames
Kommunikationsnetz mit Prozesssteuerungssystemsteuerungen und Benutzeroberflächen verbunden
sind; 2 Figure 3 is a block diagram of multiple security system controls communicatively connected to each other via a first communication network and additionally connected to process control system controls and user interfaces via a second and common communication network;
3 ist ein Beispiel einer,
durch die Konfigurationsanwendung von 1 erzeugten
Bildschirmmaske, die eine Konfigurationsansicht der Prozessanlage
von 1 darstellt, die
sowohl die Prozesssteuerungssystem- als auch die Sicherheitssystemgeräte zeigt; 3 is an example of one through the configuration application of 1 generated screen mask that a configuration view of the process plant from 1 which shows both the process control system and security system devices;
4 ist ein Blockschema der
Diagnoseanwendung von 1,
welche dazu ausgelegt ist, die Anzeige und Handhabung von Prozesssteuerungssystem-
und Sicherheitssystemalarmen in einer einzigen Benutzeroberfläche zu integrieren; 4 is a block diagram of the diagnostic application of 1 , which is designed to integrate the display and handling of process control system and safety system alarms in a single user interface;
5 ist eine Darstellung eines
Beispiels einer Alarmbildschirmmaske, die von der Diagnoseanwendung
von 4 erzeugt wird,
die Alarme aus sowohl dem Prozesssteuerungs- als auch dem Sicherheitssystem
von 1 anzeigt; 5 is an illustration of an example ner alarm screen mask used by the diagnostic application of 4 is generated, the alarms from both the process control and safety systems of 1 displays;
6 ist ein Blockschema eines
Beispiels einer Sicherungsanwendung, die in einem oder mehreren
der Arbeitsplatzrechner von 1 angeordnet ist,
die automatisch verschiedene Sicherheitsgesetze im Hinblick auf
das Einschreiben von Daten in die oder Auslesen von Daten aus den
Prozesssteuerungssystem- und Sicherheitssystemgeräten von 1 durchsetzt; und 6 Figure 3 is a block diagram of an example of a backup application running in one or more of the workstations of 1 is arranged, which automatically different security laws with regard to the writing of data in or reading data from the process control system and security system devices of 1 interspersed; and
7 ist eine Darstellung eines
Beispiels einer Benutzeroberflächenanzeige,
die gesicherte Einschreibevorgänge
in und Auslesevorgänge
aus verschiedenen Geräten
innerhalb des Prozesssteuerungs- und Sicherheitssystems von 1 unter Verwendung der Sicherungsanwendung
von 6 ermöglicht. 7 FIG. 12 is an illustration of an example of a user interface display that shows secure writes to and reads from various devices within the process control and security system of FIG 1 using the backup application from 6 allows.
AUSFÜHRLICHE
BESCHREIBUNGDETAILED
DESCRIPTION
Nun
umfasst mit Bezug auf 1 eine
Prozessanlage 10 ein Prozesssteuerungssystem 12, das
mit einem (durch unterbrochene Linien angezeigten) Sicherheitssystem 14 integriert
ist, welches im Allgemeinen als sicherheitsinstrumentiertes System
(SIS) arbeitet, um die vom Prozesssteuerungssystem 12 bereitgestellte
Steuerung/Regelung zur Maximierung des wahrscheinlichen Sicherheitsbetriebs
der Prozessanlage 10 zu überwachen und durch Override
außer
Kraft zu setzen. Die Prozessanlage 10 umfasst auch einen
oder mehrere Host-Arbeitsplatzrechner, Computer oder Benutzeroberflächen 16 (die
irgendeine Art von PC, Arbeitsplatzrechner, etc. sein können), auf
die durch das Anlagenpersonal wie Prozesssteuerungsoperatoren, Wartungspersonal,
Systemtechniker, etc. zugegriffen werden kann. In dem in 1 dargestellten Beispiel
sind drei Benutzeroberflächen 16 gezeigt,
die mit zwei separaten Prozesssteuerungs-/Sicherheitssteuerungsknoten 18 und 20 und
mit einer Konfigurationsdatenbank 21 über eine gemeinsame Kommunikationsleitung oder
einen gemeinsamen Kommunikationsbus 22 verbunden sind.
Das Kommunikationsnetz 22 kann unter Verwendung einer beliebigen
auf Bus basierenden oder nicht auf Bus basierenden Hardware implementiert
sein, unter Verwendung einer beliebigen festverdrahteten oder drahtlosen
Kommunikationsstruktur, und unter Verwendung eines beliebigen oder
geeigneten Kommunikationsprotokolls wie einem Ethernet-Protokoll.Now includes with respect to 1 a process plant 10 a process control system 12 with a security system (indicated by broken lines) 14 is integrated, which generally works as a safety instrumented system (SIS) around the process control system 12 Control provided to maximize the likely safety operation of the process plant 10 monitor and override by override. The process plant 10 also includes one or more host workstations, computers, or user interfaces 16 (which can be any type of PC, workstation, etc.) that can be accessed by plant personnel such as process control operators, maintenance personnel, system technicians, etc. In the in 1 The example shown is three user interfaces 16 shown with two separate process control / safety control nodes 18 and 20 and with a configuration database 21 via a common communication line or a common communication bus 22 are connected. The communication network 22 can be implemented using any bus-based or non-bus-based hardware, using any hard-wired or wireless communication structure, and using any or suitable communication protocol, such as an Ethernet protocol.
Allgemein
ausgedrückt,
umfasst jeder der Knoten 18 und 20 der Prozessanlage 10 sowohl
Prozesssteuerungssystem- als auch Sicherheitssystemgeräte, die über eine
Busstruktur miteinander verbunden sind, die auf einer Rückwandplatine
vorgesehen werden kann, in der die verschiedenen Geräte befestigt
sind. Der Knoten 18 ist in 1 als
eine Prozesssteuerung 24 (welche ein redundantes Rechnerpaar
sein kann) sowie ein oder mehrere Eingabe-/Ausgabegeräte (E/A-Geräte) 28, 30 und 32 des Prozesssteuerungssystems
umfassend dargestellt, während
der Knoten 20 als eine Prozesssteuerung 26 (welche
ein redundantes Rechnerpaar sein kann) sowie ein oder mehrere E/A-Geräte 34 und 36 des Prozesssteuerungssystems
umfassend dargestellt ist. Jedes der E/A-Geräte 28, 30, 32, 34 und 36 des Prozesssteuerungssystems
ist kommunikativ mit einer Gruppe von prozesssteuerungsbezogenen
Feldgeräten
verbunden, die in 1 als
Feldgeräte 40 und 42 dargestellt
sind. Die Prozesssteuerungen 24 und 26, die E/A-Geräte 28 – 36 und
die Prozesssteuerungsfeldgeräte 40 und 42 machen
allgemein das Prozesssteuerungssystem 12 von 1 aus.Generally speaking, each of the nodes comprises 18 and 20 the process plant 10 both process control system and safety system devices which are connected to one another via a bus structure which can be provided on a backplane in which the various devices are fastened. The knot 18 is in 1 as a process control 24 (which can be a redundant pair of computers) and one or more input / output devices (I / O devices) 28 . 30 and 32 of the process control system comprehensively represented while the node 20 as a process control 26 (which can be a redundant pair of computers) and one or more I / O devices 34 and 36 of the process control system is shown comprehensively. Each of the I / O devices 28 . 30 . 32 . 34 and 36 of the process control system is communicatively connected to a group of process control related field devices, which in 1 as field devices 40 and 42 are shown. The process controls 24 and 26 who have favourited I / O Devices 28 - 36 and the process control field devices 40 and 42 generally make the process control system 12 of 1 out.
Ebenso
umfasst der Knoten 18 einen oder mehrere Sicherheitssystemlogiklöser 50 und 52, während der
Knoten 20 Sicherheitssystemlogiklöser 54 und 56 umfasst.
Jeder dieser Logiklöser 50 – 56 ist
ein E/A-Gerät
(verschiedentlich auch als Sicherheitscontroller bezeichnet) mit
einem Prozessor 57, der in einem Speicher abgespeicherte
Sicherheitslogikmodule 58 ausführt, und steht kommunikativ
in Verbindung, um Steuersignale an die Feldgeräte 60 und 62 zu
schicken und/oder Signale von diesen zu empfangen. Zusätzlich kann
jeder der Knoten 18 und 20 mindestens ein Nachrichtenverbreitungsgerät (MPD – Message
Propagation Device) 70 bzw. 72 umfassen, welche über eine
Ringbusverbindung 74 (wovon nur ein Teil in 1 dargestellt ist) miteinander
verbunden sind. Die Sicherheitssystemlogiklöser 50 – 56,
die Sicherheitssystemfeldgeräte 60 und 62, die
MPDs 70 und 72 und der Bus 74 machen
allgemein das Sicherheitssystem 14 von 1 aus.The node also includes 18 one or more security system logic solvers 50 and 52 while the knot 20 Safety system logic solvers 54 and 56 includes. Each of these logic solvers 50 - 56 is an I / O device (sometimes referred to as a safety controller) with a processor 57 , the safety logic modules stored in a memory 58 executes, and communicates to control signals to the field devices 60 and 62 to send and / or receive signals from them. In addition, each of the nodes 18 and 20 at least one message propagation device (MPD) 70 respectively. 72 include which via a ring bus connection 74 (of which only a part in 1 is shown) are interconnected. The security system logic solvers 50 - 56 who have favourited Security System Field Devices 60 and 62 who have favourited MPDs 70 and 72 and the bus 74 generally make the security system 14 of 1 out.
Die
Prozesssteuerungen 24 und 26, bei denen es sich
nur beispielhaft um Delta VTM-Rechner, die
von Emerson Process Management vertrieben werden, oder irgendeine
andere beliebige Art von Prozesssteuerungen handeln kann, sind so
programmiert, dass sie eine Prozesssteuerungsfunktionalität (indem
sie das verwenden, was allgemein als Steuermodule bezeichnet wird)
unter Verwendung der E/A-Geräte 28, 30 und 32 (für die Steuerung
bzw. den Rechner 24), der E/A-Geräte 34 und 36 (für die Steuerung
bzw. den Rechner 26), und der Feldgeräte 40 und 42 bereitstellen.
Insbesondere implementiert oder überwacht
jeder der Rechner 24 und 26 ein oder mehrere darin
gespeicherte oder anderweitig damit zusammenhängende Prozesssteuerungsroutinen 75 (die
auch als Steuermodule bezeichnet werden) und kommuniziert mit den
Feldgeräten 40 und 42 und
den Arbeitsplatzrechnern 14, um den Prozess 10 oder
einen Teil des Prozesses 10 auf eine gewünschte Weise
zu steuern/regeln. Die Feldgeräte 40 und 42 können jede
beliebige Art von Feldgeräten
sein, wie Sensoren, Ventile, Messwertgeber, Stellglieder, etc.,
und können
jedem gewünschten
offenen, geschlossenen oder anderen Kommunikations- oder Programmierprotokoll,
einschließlich
beispielsweise dem HART- oder dem 4–20 mA-Protokoll (wie für die Feldgeräte 40 dargestellt),
jedem Feldbusprotokoll wie dem Protokoll Foundation® Fieldbus
(wie für
die Feldgeräte 42 dargestellt),
oder den CAN-, Profibus-, AS-Interface-Protokollen entsprechen,
um nur einige wenige zu nennen. Ähnlich
können
die E/A-Geräte 28 – 36 irgendeine
bekannte Art von E/A-Geräten
für die
Prozesssteuerung sein, die irgendein geeignetes oder irgendwelche
geeigneten Kommunikationsprotokolle verwenden.The process controls 24 and 26 , which may only be exemplary Delta V TM computers sold by Emerson Process Management, or any other type of process control, are programmed to provide process control functionality (using what is commonly referred to as control modules using the I / O devices 28 . 30 and 32 (for the control or the computer 24 ), the I / O devices 34 and 36 (for the control or the computer 26 ), and the field devices 40 and 42 provide. In particular, each of the computers implements or monitors 24 and 26 one or more process control routines stored therein or otherwise related thereto 75 (which are also referred to as control modules) and communicates with the field devices 40 and 42 and the workstations 14 to the process 10 or part of the process 10 to control in a desired way. The field devices 40 and 42 can be any type of field device, such as Sen sensors, valves, transmitters, actuators, etc., and can be any desired open, closed or other communication or programming protocol, including for example the HART or the 4-20 mA protocol (as for the field devices 40 shown), each fieldbus protocol such as the Foundation ® Fieldbus protocol (as for the field devices 42 shown), or the CAN, Profibus, AS-Interface protocols, to name just a few. The I / O devices can be similar 28 - 36 may be any known type of process control I / O devices using any suitable or suitable communication protocols.
Die
Sicherheitslogiklöser 50 – 56 von 1 können eine beliebige Art von
Sicherheitssystemsteuergeräten
sein, die einen Prozessor 57 und einen Speicher umfassen,
in dem Sicherheitslogikmodule 58 abgespeichert sind, die
dazu ausgelegt sind, auf dem Prozessor 57 ausgeführt zu werden,
um Steuerungsfunktionalität
in Zusammenhang mit dem Sicherheitssystem 14 unter Verwendung
der Sicherheitsfeldgeräte 60 und 62 bereitzustellen.
Natürlich können die
Sicherheitsfeldgeräte 60 und 62 eine
beliebige Art von Feldgeräten
sein, die irgendeinem bekannten oder gewünschten Kommunikationsprotokoll,
wie den oben erwähnten,
entsprechen oder dieses verwenden. Insbesondere können die
Feldgeräte 60 und 62 sicherheitsbezogene
Feldgeräte
der Art sein, die herkömmlicher
Weise von einem separaten, zweckgebundenen sicherheitsbezogenen
Steuersystem gesteuert werden. In der in 1 dargestellten Prozessanlage 10 sind
die Sicherheitsfeldgeräte 60 so
dargestellt, dass sie ein zweckgebundenes oder Punkt-zu-Punkt-Kommunikationsprotokoll,
wie das HART- oder 4–20
mA-Protokoll verwenden, während
die Sicherheitsfeldgeräte 62 so
dargestellt sind, dass sie ein Buskommunikationsprotokoll wie ein Fieldbus-Protokoll
verwenden. Typischerweise werden die Sicherheitsgeräte (sowohl
die Sicherheitssystemlogiklöser(rechner)) 50 – 56,
als auch die Sicherheitssystemfeldgeräte 60 und 62,
die als Teil des Sicherheitssystems 14 verwendet werden,
zu den Sicherheitsgeräten
gezählt,
was typischerweise bedeutet, dass diese Geräte ein Bewertungsverfahren durchlaufen
müssen,
um durch eine geeignete Instanz als Sicherheitsgerät eingeordnet
zu werden.The security logic solver 50 - 56 of 1 can be any type of security system controller that has a processor 57 and include a memory in which security logic modules 58 are stored, which are designed on the processor 57 to be executed to control functionality related to the security system 14 using the safety field devices 60 and 62 provide. Of course, the safety field devices 60 and 62 be any type of field device that conforms to or uses any known or desired communication protocol, such as those mentioned above. In particular, the field devices 60 and 62 be safety-related field devices of the type that are conventionally controlled by a separate, dedicated safety-related control system. In the in 1 shown process plant 10 are the safety field devices 60 shown to use a dedicated or point-to-point communication protocol, such as the HART or 4-20 mA protocol, while the safety field devices 62 are shown using a bus communication protocol such as a Fieldbus protocol. Typically, the security devices (both the security system logic solver (computer)) 50 - 56 , as well as the security system field devices 60 and 62 that are part of the security system 14 are counted among the safety devices, which typically means that these devices have to go through an evaluation procedure in order to be classified as a safety device by a suitable entity.
Eine
gemeinsame Rückwandplatine 76 (angezeigt
durch eine unterbrochene Linie durch die Rechner 24, 26,
die E/A-Geräte 28 – 36,
die Sicherheitslogiklöser 50 – 56 und
die MPDs 70 und 72) wird in jedem der Knoten 18 und 20 verwendet,
um die Rechner 24 und 26 an die E/A-Karten 28, 30 und 32 oder 34 und 36 der
Prozesssteuerung sowie an die Sicherheitslogiklöser 52 und 54 oder 56 und 58 und an
die MPDs 70 oder 72 anzuschließen. Die Steuerungen 24 und 26 sind
auch kommunikativ an den Bus 22 angeschlossen und wirken
für diesen
als Busarbitrator, um die E/A-Geräte 28 – 36,
die Logiklöser 52 – 56 bzw.
die MPDs 70 und 72 in die Lage zu versetzen, über den
Bus 22 mit einem der Arbeitsplatzrechner 16 zu
kommunizieren.A common backplane 76 (indicated by a broken line through the computers 24 . 26 who have favourited I / O Devices 28 - 36 who have favourited Security Logic Solvers 50 - 56 and the MPDs 70 and 72 ) is in each of the nodes 18 and 20 used the calculator 24 and 26 to the I / O cards 28 . 30 and 32 or 34 and 36 the process control and the safety logic solvers 52 and 54 or 56 and 58 and to the MPDs 70 or 72 to join. The controls 24 and 26 are also communicative to the bus 22 connected and act as a bus arbiter for the I / O devices 28 - 36 who have favourited Logic Solvers 52 - 56 or the MPDs 70 and 72 able to put on the bus 22 with one of the workstations 16 to communicate.
Wie
klar wird, ermöglicht
es die Verwendung der Rückwandplatine 76 in
jedem der Knoten 18 und 20 den Sicherheitslogiklösern 50 – 56,
lokal miteinander zu kommunizieren, um Sicherheitsfunktionen zu koordinieren,
die von jedem dieser Geräte
bewerkstelligt werden, um einander Daten mitzuteilen oder andere
integrierte Funktionen zu erfüllen.
Andererseits wirken die MPDs 70 und 72 so, dass
sie es Teilen des Sicherheitssystems 14, die sich an äußerst unterschiedlichen
Stellen der Anlage 10 befinden, ermöglichen, immer noch miteinander
zu kommunizieren, um einen koordinierten Sicherheitsbetrieb an unterschiedlichen
Knoten der Prozessanlage 10 bereitzustellen. Insbesondere
ermöglichen
es die MPDs 70 und 72 zusammen mit dem Bus 74,
dass die Sicherheitslogiklöser,
die mit den verschiedenen Knoten 18 und 20 der
Prozessanlage 10 zusammenhängen, kommunikativ in Kaskadenschaltung
miteinander verbunden sind, um für
die Kaskadenschaltung von sicherheitsbezogenen Funktionen innerhalb
der Prozessanlage 10 nach einer zugeteilten Priorität zu sorgen.
Alternativ können
zwei oder mehre sicherheitsbezogene Funktionen an unterschiedlichen
Stellen innerhalb der Prozessanlage 10 verknüpft oder
miteinander verbunden werden, ohne dass dabei eine zweckgebundene
Leitung zu einzelnen Sicherheitsfeldgeräten innerhalb der gesonderten
physikalischen Bereiche oder Knoten der Anlage 10 verlegt werden
müsste.
Anders ausgedrückt
ermöglicht
es der Einsatz der MPDs 70 und 72 und des Busses 74 einem
Systemtechniker, ein Sicherheitssystem 14 zu entwerfen
und konfigurieren, das von der Art her über die gesamte Prozessanlage 10 verteilt
ist, dessen unterschiedliche Komponenten aber kommunikativ miteinander
verbunden sind, um es der verschiedenen sicherheitsbezogenen Hardware
zu ermöglichen,
wie erforderlich miteinander zu kommunizieren. Dieses Merkmal sorgt
auch für
eine Skalierbarkeit des Sicherheitssystems 14, indem es
ermöglicht,
dass zusätzliche
Logiklöser
dem Sicherheitssystem 14 hinzugefügt werden können, wenn sie benötigt werden, oder
wenn der Prozessanlage 10 neue Prozesssteuerungsknoten
hinzugefügt
werden.As is clear, it allows the use of the backplane 76 in each of the nodes 18 and 20 the security logic solvers 50 - 56 to communicate locally to coordinate security functions performed by each of these devices, to communicate data to one another, or to perform other integrated functions. On the other hand, the MPDs work 70 and 72 so that it is part of the security system 14 that are located in extremely different places of the plant 10 enable, to still communicate with each other to ensure coordinated safety operation at different nodes in the process plant 10 provide. In particular, the MPDs make it possible 70 and 72 together with the bus 74 that the security logic solver that comes with the different nodes 18 and 20 the process plant 10 related, communicatively connected in cascade to one another for the cascade of safety-related functions within the process plant 10 to worry about an assigned priority. Alternatively, two or more safety-related functions can be located at different points within the process plant 10 linked or connected to each other without a dedicated line to individual safety field devices within the separate physical areas or nodes of the system 10 would have to be relocated. In other words, the use of the MPDs makes it possible 70 and 72 and the bus 74 a systems engineer, a security system 14 to design and configure that across the entire process plant 10 is distributed, the different components of which are communicatively connected to one another in order to enable the various security-related hardware to communicate with one another as required. This feature also ensures scalability of the security system 14 by allowing additional logic solvers to the security system 14 can be added when they are needed or when the process plant 10 new process control nodes are added.
2 stellt die Kommunikationsverbindungen
innerhalb und zwischen den Knoten 18 und 20 der
Prozessanlage 10 ausführlicher
dar. Allgemein ausgedrückt,
sind die Bestandteile von 1,
die in 2 dargestellt
sind, mit denselben Bezugszahlen bezeichnet. Jedoch ist jeder der
Prozessrechner bzw. -steuerungen 24 und 26 in 2 als ein redundantes Rechnerpaar 24A, 24B und 26A und 26B dargestellt,
welche irgendwelche standardmäßigen Redundanztechniken
verwenden können.
Gleichermaßen
ist jeder der Sicherheitslogiklöser 50 – 56 als
ein Gerätepaar
mit einem primären
Sicherheitslogiklöser 50A, 52A, 54A und 56A und
einem sekundären
Sicherheitslogiklöser 50B, 52B, 54B und 56B in
jedem Paar dargestellt. Wie klar wird, ist jedes Paar der Sicherheitslogiklöser 50 – 56 an
die (in 2 nicht dargestellten)
Sicherheitsfeldgeräte
angeschlossen und kann dieselben Sicherheitslogikmodule 58 zur
Verwendung bei der Erfüllung
von Sicherheitsfunktionen innerhalb des Sicherheitssystems 14 speichern.
Jedes Paar der Sicherheitslogiklöser 50 – 56 umfasst einen
zweckgebundenen Bus 50C, 52C, 54C und 56CC,
der zwischen den primären
und sekundären Logiklösern angeschlossen
ist, um Steuerverbindungen zwischen dem Logiklöserpaar bereitzustellen. Die
primären
und sekundären
Logiklöser
lassen gleichzeitig Berechnungen ablaufen und führen sie durch, und die Ausgaben
dieser beiden Geräte
können über die geeigneten
Busse 50C, 52C, 54C und 56C einander
mitgeteilt und bestätigt
werden. Falls gewünscht,
kann das primäre
Gerät eine
Auswahllogik umfassen, die die Ausgabe des Paars der Sicherheitslogiklöser basierend
auf der Ausgabe sowohl der primären
als auch der sekundären
Geräte
bestimmt. Alternativ können
irgendwelche beliebigen oder bekannten Redundanztechniken für die Logiklöserpaare 50 – 56 verwendet
werden. 2 establishes the communication links within and between the nodes 18 and 20 the process plant 10 In more general terms, the components of 1 , in the 2 are shown with the same reference numerals. However, each is the process computer or controller 24 and 26 in 2 as a redundant pair of computers 24A . 24B and 26A and 26B which can use any standard redundancy techniques. Likewise, everyone is the security logic solver 50 - 56 as a Device pair with a primary safety logic solver 50A . 52A . 54A and 56A and a secondary security logic solver 50B . 52B . 54B and 56B depicted in each pair. As is clear, each pair is the security logic solver 50 - 56 to the (in 2 safety field devices (not shown) and can use the same safety logic modules 58 for use in fulfilling security functions within the security system 14 to save. Every pair of security logic solvers 50 - 56 includes a dedicated bus 50C . 52C . 54C and 56CC connected between the primary and secondary logic solvers to provide control connections between the logic solver pair. The primary and secondary logic solvers run and perform calculations simultaneously, and the output of these two devices can be through the appropriate buses 50C . 52C . 54C and 56C communicated and confirmed to each other. If desired, the primary device may include selection logic that determines the output of the pair of security logic solvers based on the output of both the primary and secondary devices. Alternatively, any or known redundancy techniques for the logic solver pairs can be used 50 - 56 be used.
Darüber hinaus
ist jeder der MPDs 70 und 72 als redundantes Gerätepaar 70A, 70B und 72A, 72B dargestellt,
wobei die MPDs der verschiedenen Knoten 18 und 20 mit
einem redundanten Paar von knotenübergreifenden Kommunikationsleitungen
oder -bussen 74 verbunden sind. Während die Kommunikationsverbindungen
zwischen nur zwei Knoten 18 und 20 in den 1 und 2 dargestellt sind, wird klar, dass nur
ein einziges oder ein redundantes Paar von MPDs in beliebig vielen
unterschiedlichen Knoten der Prozessanlage 10 angeordnet
und miteinander in einer Ringbusstruktur verbunden sein kann, um
auf irgendeine gewünschte
Weise knotenübergreifende Verbindungen
bereitzustellen. Obwohl im Allgemeinen (aber nicht unbedingt) ein
Ringbuskommunikationsaufbau verwendet wird, werden die MPDs des ersten
Knotens mit den MPDs des zweiten Knotens verbunden, welcher mit
den MPDs des dritten Knotens verbunden wird, usw., wobei die MPDs
des letzten Knotens mit den MPDs des ersten Knotens, alle jeweils über den
Ringbus 74, verbunden werden. Gibt es, wie in 1 dargestellt, nur zwei
Knoten in der Prozessanlage 10, wird der aus den MPDs 72A und 72B des
Knotens 20 austretende Bus 74 direkt an die Eingänge der
MPDs 70A und 70B des Knotens 18 angeschlossen.In addition, each of the MPDs 70 and 72 as a redundant pair of devices 70A . 70B and 72A . 72B shown, the MPDs of the different nodes 18 and 20 with a redundant pair of cross-node communication lines or buses 74 are connected. During the communication links between only two nodes 18 and 20 in the 1 and 2 are shown, it is clear that only a single or a redundant pair of MPDs in any number of different nodes of the process plant 10 arranged and interconnected in a ring bus structure to provide cross-node connections in any desired manner. Although a ring bus communication setup is generally (but not necessarily) used, the MPDs of the first node are connected to the MPDs of the second node which is connected to the MPDs of the third node, etc., the MPDs of the last node being connected to the MPDs of the first node, all via the ring bus 74 , get connected. Is there like in 1 shown, only two nodes in the process plant 10 , the one from the MPDs 72A and 72B of the knot 20 exiting bus 74 directly to the inputs of the MPDs 70A and 70B of the knot 18 connected.
Zusätzlich zur
Darstellung der Verbindung zwischen den Steuerungen 24 und 26 und
den Arbeitsplatzrechnern von 1,
stellt 2 die Rückwandplatinen 76 ausführlicher
dar. Insbesondere sind am Knoten 18 die Steuerungen 24A und 24B an die
E/A-Geräte 28, 30 und 32,
an die redundanten Paare der Sicherheitslogiköser 50A, 50B und 52A, 52B und
an das redundante Paar der MPDs 70A und 70B über eine
Schienenbuskommunikationsverbindung 100 angeschlossen,
die vorzugsweise in der Rückwandplatine 76 angeordnet
ist. Genauso sind am Knoten 20 die Rechner 26A und 26B an
die E/A-Geräte 34 und 36,
die Paare der Logiklöser 54A, 54B und 56A, 56B und
an das redundante Paar der MPDs 72A und 72B über eine
Schienenbuskommunikationsverbindung 102 angeschlossen,
die in der Rückwandplatine 76 angeordnet
ist. Die Rechner 24 und 26 verwenden die Schienenbusverbindungen 100 und 102,
um Kommunikationsverbindungen zwischen den Arbeitsplatzrechnern 14 einerseits
und den E/A-Geräten 28 – 36 und
den Sicherheitssystemlogiklösern 50 – 56 und
den MPDs 70 und 72 andererseits bereitzustellen,
sowie Kommunikationsverbindungen zwischen den E/A-Geräten 28 – 36 einerseits
und den Sicherheitslogiklösern 50 – 56 und
den MPDs 70 und 72 andererseits bereitzustellen.
Anders ausgedrückt
werden die Schienenbusleitungen 100 und 102 als
Kommunikationsnetz verwendet, das es ermöglicht, dass die Sicherheitssystemgeräte innerhalb
der Prozessanlage 10 mit den Prozesssteuerungssystemgeräten auf
einer höheren
Ebene integriert werden können,
so dass dieselben Konfigurations- und Anzeigeanwendungen, die in
den Arbeitsplatzrechnern 14 angeordnet sind, sowohl mit den
Prozesssteuerungssystem- als auch den Sicherheitssystemgeräten kommunizieren,
diese konfigurieren und Information von diesen anzeigen können.In addition to showing the connection between the controls 24 and 26 and the workstations from 1 , poses 2 the backplanes 76 in more detail. In particular, at the node 18 the controls 24A and 24B to the I / O devices 28 . 30 and 32 , to the redundant pairs of safety logic solvers 50A . 50B and 52A . 52B and the redundant pair of MPDs 70A and 70B via a rail bus communication link 100 connected, preferably in the backplane 76 is arranged. So are the knot 20 the computers 26A and 26B to the I / O devices 34 and 36 who have favourited logic solver pairs 54A . 54B and 56A . 56B and the redundant pair of MPDs 72A and 72B via a rail bus communication link 102 connected that in the backplane 76 is arranged. The calculator 24 and 26 use the rail bus connections 100 and 102 to establish communication links between the workstations 14 on the one hand and the I / O devices 28 - 36 and the security system logic solvers 50 - 56 and the MPDs 70 and 72 on the other hand, as well as communication connections between the I / O devices 28 - 36 on the one hand and the security logic solvers 50 - 56 and the MPDs 70 and 72 on the other hand. In other words, the rail bus lines 100 and 102 used as a communication network that enables the security system devices within the process plant 10 can be integrated with the process control system devices at a higher level, so that the same configuration and display applications as in the workstations 14 are arranged, can communicate with both the process control system and the safety system devices, configure them and display information from them.
Zusätzlich umfasst
die Rückwandplatine 76, wie
im Hinblick auf den Knoten 18 dargestellt ist, einen ersten
nicht-hierarchischen oder P2P-Bus (P2P – Peer-to-Peer) 104A,
der die Sicherheitssystemlogiklöser 50 bis 52 jeweils
mit dem primären
MPD 70A verbindet, während
ein zweiter P2P-Bus 104B die Sicherheitssystemlogiklöser 50 und 52 jeweils
mit dem sekundären
MPD 70B verbindet. Die ersten und zweiten P2P-Busse 104A und 104B sind
lokale P2P-Busse, die lokale Kommunikationsverbindungen zwischen
den Sicherheitslogiklösern
in einer einzelnen Rückwandplatine 76 sowie
dem MPD 70 bereitstellen, der zur Rückwandplatine 76 gehört oder mit
ihr verbunden ist. Auf ähnliche
Weise umfasst der Knoten 20 einen ersten nicht-hierarchischen
Bus (P2P-Bus) 106A, der die redundanten Paare der Sicherheitssystemlogiklöser 54 und 56 jeweils
mit dem primären
MPD 72A verbindet, während
ein zweiter P2P-Bus 106 jeweils die redundanten Paare der
Sicherheitssystemlogiklöser 54 und 56 mit
dem sekundären
MPD 72B verbindet. Der erste und der zweite P2P-Bus 106A und 106B sind
lokale P2P-Busse, die lokale Kommunikationsverbindungen zwischen
den Sicherheitslogiklösern
und dem MPD 72 in der Rückwandplatine 76 des
Knotens 20 bereitstellen. Wie klar wird, stellen die ersten
und zweiten P2P-Busse 104A, 104B, 106A und 106B redundante
Kommunikationspfade zwischen allen sicherheitsbezogenen Logiklösern 50 – 56 auf
den jeweiligen Rückwandplatinen 76 bereit.
Falls gewünscht,
können
die lokalen P2P-Busse 104 und 106 als Rundrufbusse
wirken, indem jedes an den Bus angeschlossene Sicherheitslogiklöser- und
MPD-Gerät die Übertragungen
aller anderen Geräte
auf dem Bus empfängt
und immer nur ein Gerät
senden kann. Während 2 zwei an jede der Rückwandplatinen 76 in
den unterschiedlichen Knoten 18 und 20 angeschlossene
Sicherheitslogiklöser
darstellt, können
natürlich
beliebig viele Sicherheitslogiklöser,
die redundante Logiklöserpaare oder
alteinstehende Logiklöser
sein können,
an die Rückwandplatine 76 an
jeden der Knoten 18 und 20 (und dadurch an den
lokalen P2P-Bus 104 oder 106) angeschlossen werden.Additionally includes the backplane 76 how in terms of knot 18 is shown, a first non-hierarchical or P2P bus (P2P - peer-to-peer) 104A who the security system logic solver 50 to 52 each with the primary MPD 70A connects while a second P2P bus 104B the security system logic solvers 50 and 52 each with the secondary MPD 70B combines. The first and second P2P buses 104A and 104B are local P2P buses, the local communication links between the safety logic solvers in a single backplane 76 as well as the MPD 70 Deploy that to the backplane 76 heard or connected to it. Similarly, the knot includes 20 a first non-hierarchical bus (P2P bus) 106A that the redundant pairs of security system logic solvers 54 and 56 each with the primary MPD 72A connects while a second P2P bus 106 each the redundant pairs of the safety system logic solvers 54 and 56 with the secondary MPD 72B combines. The first and the second P2P bus 106A and 106B are local P2P buses, the local communication links between the security logic solvers and the MPD 72 in the backplane 76 of the knot 20 provide. As is clear, the first and second P2P buses 104A . 104B . 106A and 106B redundant communication paths between all security-related logic solvers 50 - 56 on the respective backplane 76 ready. If desired, the local P2P buses can 104 and 106 act as a broadcast bus in that each safety logic solver and MPD device connected to the bus receives the transmissions of all other devices on the bus and can only transmit one device at a time. While 2 two on each of the backplanes 76 in the different nodes 18 and 20 connected safety logic solver, of course, any number of safety logic solvers, which can be redundant logic solver pairs or old logic solvers, to the backplane 76 to each of the nodes 18 and 20 (and thereby to the local P2P bus 104 or 106 ) can be connected.
Falls
gewünscht,
können
sich die Sicherheitslogiklöser
die lokalen P2P-Buseinrichtungen unter Verwendung einer Zeitvielfachzugriffsmethode (TDMA)
teilen, wobei alle lokalen Sicherheitslogiklöser auf einer speziellen Rückwandplatine
miteinander synchronisiert sind. In einem Fall können die lokalen P2P-Busse 104 und 10b ein
RS485 Manchester-codiertes HDLC-Protokoll mit einem Durchsatz von
beispielsweise 2 Mb/sec. verwenden. Dieses Manchester-Codierschema
lässt die
Leitung mit 4 Mb/s anfahren. Die angegebenen Geschwindigkeiten sind
nur beispielhaft, da auch genauso andere geeignete Geschwindigkeiten
und Codierschemata gewählt
werden können.
Darüber
hinaus kann, falls gewünscht,
jeder der lokalen Sicherheitslogiklöser auf einer speziellen Rückwandplatine
seinen Übertragungszeitschlitz
innerhalb des auf der Rückwandplatine 76 verwendeten
TDMA-Schemas basierend auf seiner physikalischen Anordnung auf der
Rückwandplatine 76 bestimmen
oder zugeteilt bekommen, was die Anzahl an Konfigurationsschritten
reduziert, die zum Installieren der Rückwandplatine 76 an
einem bestimmten Knoten erforderlich sind. Noch weiter darüber hinaus
können
die ersten und zweiten P2P-Busse 104 und 106 der
Rückwandplatinen 76 jede
beliebige Nachrichtenart unterstützen,
und die physikalischen Verknüpfungen
für die
lokalen P2P-Busse 104 und 106 können in
der Rückwandplatine 76 liegen.If desired, the security logic solvers can share the local P2P bus devices using a time division multiple access (TDMA) method, with all local security logic solvers synchronized with each other on a special backplane. In one case, the local P2P buses can 104 and 10b an RS485 Manchester-coded HDLC protocol with a throughput of, for example, 2 Mb / sec. use. This Manchester coding scheme allows the line to start up at 4 Mb / s. The speeds given are only examples, since other suitable speeds and coding schemes can also be selected. In addition, if desired, each of the local security logic solvers on a special backplane can have its transmission time slot within that on the backplane 76 used TDMA schemes based on its physical arrangement on the backplane 76 determine or get assigned, which reduces the number of configuration steps required to install the backplane 76 are required at a particular node. The first and second P2P buses can go even further 104 and 106 the backplane 76 support any type of message, and the physical links for the local P2P buses 104 and 106 can in the backplane 76 lie.
Die
P2P-Fernbusse 74 verwenden vorzugsweise eine Ringtopologie,
um zuzulassen, dass Daten zwischen Sicherheitslogiklösern, die
sich an unterschiedlichen Knoten der Prozessanlage 10 befinden
und deshalb auf unterschiedlichen Rückwandplatinen 76 angeordnet
sind, übertragen
werden können.
Die MPDs 70 und 72 sind für die Verbreitung von Nachrichten
um den Ring verantwortlich, der aus dem P2P-Fernbus 74 besteht,
um Nachrichten, die aus einem Sicherheitslogiklöser auf derselben Rückwandplatine
wie des MPDs 70 oder 72 zum Ring 74 geleitet
werden, unterzubringen, und um die Nachrichten, die sich im Ring 74 befinden
und an einen Sicherheitslogiklöser
auf derselben Rückwandplatine wie
eines MPDs 70 oder 72 adressiert sind, zu eben diesem
Sicherheitslogiklöser
zu schicken. Während jede
Anzahl an Nachrichten auf dem P2P-Fernbus 74 verbreitet
werden kann, sieht eine Ausführungsform ein
Maximum von zweiunddreißig
(32) Nachrichten vor, die während
jedes P2P-Buszyklus verbreitet werden sollen. Diese Nachrichten
können
von 1 bis 32 separaten und verschiedenen Sicherheitslogiklösern stammen,
einschließlich
der Sicherheitslogiklöser 50 – 56 auf
den Rückwandplatinen 76 der
Knoten 18 und 20, sowie von irgendwelchen anderen
Rückwandplatinen
auf anderen Knoten in der Prozessanlage 10, die durch den
Ringbus 74 miteinander verbunden werden. Als Ergebnis dieser
Operation können
jedoch alle der Sicherheitslogiklöser im Sicherheitssystem 14 synchron
arbeiten, selbst wenn sie sich an unterschiedlichen Knoten befinden,
weil der Ringbus 74 eine Kommunikationsverbindung zwischen
diesen Geräten
bereitstellt, was ermöglicht, dass
eine Synchronisation erzielt werden kann. Der Ringbus 74 kann
jede gewünschte
Art von Busstruktur und -protokoll einsetzen, verwendet aber vorzugsweise
Punkt-zu-Punkt-Kabel mit verdrillten Aderpaaren mit einem 10Base-T-Ethernet-Protokoll,
bzw. Glasfaserkabel und ein 10Base-F-Ethernet-Protokoll, welches
eine Übertragungsrate
von 10 Mbit/sec. hat.The P2P long-distance buses 74 preferably use a ring topology to allow data to flow between safety logic solvers located at different nodes in the process plant 10 and therefore on different backplanes 76 are arranged, can be transferred. The MPDs 70 and 72 are responsible for spreading messages around the ring coming from the P2P long-distance bus 74 consists of messages from a security logic solver on the same backplane as the MPD 70 or 72 to the ring 74 to be directed, and to accommodate the news that is in the ring 74 and to a safety logic solver on the same backplane as an MPD 70 or 72 are addressed to send to this security logic solver. During any number of messages on the P2P long-distance bus 74 an embodiment provides for a maximum of thirty-two (32) messages to be distributed during each P2P bus cycle. These messages can come from 1 to 32 separate and different security logic solvers, including the security logic solvers 50 - 56 on the backplanes 76 the knot 18 and 20 , as well as any other backplanes on other nodes in the process plant 10 by the ring bus 74 be connected to each other. However, as a result of this operation, all of the security logic solvers in the security system can 14 work synchronously, even if they are on different nodes because of the ring bus 74 provides a communication link between these devices, which enables synchronization to be achieved. The ring bus 74 can use any desired type of bus structure and protocol, but preferably uses point-to-point cables with twisted pairs with a 10Base-T Ethernet protocol, or fiber optic cables and a 10Base-F Ethernet protocol, which has a transmission rate of 10 Mbit / sec. Has.
Mit
erneutem Bezug auf 1 umfasst
jeder der Arbeitsplatzrechner 16 einen Prozessor 77 und einen
Speicher 78, der beliebig viele Benutzeroberflächen-, Konfigurations-,
Diagnose- und/oder Anzeigeanwendungen speichern kann, die dazu ausgelegt sind,
auf dem Prozessor 77 ausgeführt zu werden. Eine Konfigurationsanwendung 80 und
eine Diagnoseanwendung 82 sind in 1 in einer in ihre Einzelteile zerlegten
Ansicht dargestellt, wie sie in einem der Arbeitsplatzrechner 16 abgespeichert
sind, während
eine Benutzeroberflächen-
oder Anzeigeanwendung 85 als in einem zweiten der Arbeitsplatzrechner 16 gespeichert
dargestellt ist. Jedoch könnten,
falls gewünscht,
diese Anwendungen auch in anderen als den Arbeitsplatzrechnern 16 oder
in anderen zur Prozessanlage 10 gehörenden Computern abgespeichert
sein und von diesen ausgeführt
werden. Allgemein ausgedrückt
stellt die Konfigurationsanwendung 80 einem Systemtechniker
eine Konfigurationsinformation zur Verfügung und ermöglicht es
ihm, einige oder alle Elemente der Prozessanlage 10 zu konfigurieren
oder diese Konfiguration in der Konfigurationsdatenbank 21 zu
speichern. Als Teil dieser von der Konfigurationsanwendung 80 durchgeführten Konfigurationsvorgänge kann
der Systemtechniker Steuerroutinen oder Steuermodule für die Prozesssteuerungen 24 und 26 erstellen,
kann Sicherheitslogikmodule 58 für einige oder alle der Sicherheitslogiklöser 50 – 56 erstellen,
und kann diese unterschiedlichen Steuer- und Sicherheitsmodule über den
Bus 22 und die Rechner 24 und 26 auf
die geeigneten der Prozessrechner 24 und 26 und
der Sicherheitslogiklöser 50 – 56 herunterladen. Ähnlich kann die
Konfigurationsanwendung 80 dazu verwendet werden, andere
Programme und Logik zu erstellen und auf die E/A-Geräte 28 – 36,
irgendwelche der Feldgeräte 40, 42, 60 und 62,
etc., herunterzuladen. Wie klar wird, können diese Prozess- und Sicherheitssteuerungsmodule
für die
getrennten Prozesssteuerungs- und Sicherheitssysteme unabhängig von
den Geräten
erstellt werden, in denen diese Module ausgeführt werden, und können kommunikativ miteinander
verknüpft
werden, indem sie direkt aufeinander verweisen, um dadurch die Prozesssteuerungs-
und Sicherheitslogik in die Lage zu versetzen, miteinander zu kommunizieren,
bevor sie irgendwelchen bestimmten Geräten zugeteilt werden. Dieses Merkmal
ermöglicht
es den Prozesssteuerungssystem- und Sicherheitssystemmodulen, als
Vorlagen erstellt und abgespeichert werden zu können, sorgt für eine einfachere
Tragbarkeit dieser Module, wenn Geräte innerhalb der Prozessanlage
ausgetauscht, entfernt, etc. werden, und lässt allgemein zu, dass die
Logikkonfiguration sowohl des Prozesssteuerungssystems 12 als
auch des Sicherheitssystems 14 vor den physikalischen Geräten, die
mit diesen Systemen zusammenhängen,
eingebaut werden kann.With renewed reference to 1 includes each of the workstations 16 a processor 77 and a memory 78 that can store any number of user interface, configuration, diagnostic and / or display applications that are designed to run on the processor 77 to be executed. A configuration application 80 and a diagnostic application 82 are in 1 shown in a disassembled view as in one of the workstations 16 are stored while a user interface or display application 85 than in a second the workstation 16 is shown saved. However, if desired, these applications could also be in other than the workstations 16 or in others to the process plant 10 belonging computers are stored and executed by them. Generally speaking, the configuration application 80 A system engineer has configuration information available and enables him or her to include some or all of the elements of the process plant 10 to configure or this configuration in the configuration database 21 save. As part of this from the configuration application 80 carried out configuration processes, the system technician can control routines or control modules for the process controls 24 and 26 can create safety logic modules 58 for some or all of the security logic solvers 50 - 56 create, and can control these different control and safety modules over the bus 22 and the calculator 24 and 26 to the appropriate of the process computers 24 and 26 and the security logic solver 50 - 56 Download. Similar can the configuration application 80 used to create other programs and logic and on the I / O devices 28 - 36 , any of the field devices 40 . 42 . 60 and 62 , etc. to download. As will be clear, these process and safety control modules for the separate process control and safety systems can be created independently of the devices in which these modules are executed, and can be communicatively linked by directly referencing each other to thereby control the process control and Enable security logic to communicate with each other before it is assigned to any particular device. This feature enables the process control system and safety system modules to be created and saved as templates, makes them easier to port when devices within the process plant are exchanged, removed, etc., and generally allows the logic configuration of both process control Systems 12 as well as the security system 14 before the physical devices related to these systems can be installed.
Umgekehrt
kann die Diagnoseanwendung 82 dazu eingesetzt werden, einem
Benutzer wie einem Prozesssteuerungsoperator, einem Sicherheitsoperator,
etc., eine oder mehrere Anzeigen, falls das so gewünscht wird,
entweder in gesonderten Ansichten oder in ein und derselben Ansicht
bereitzustellen, welche Informationen über den Zustand des Prozesssteuerungssystems 12 und
des Sicherheitssystems 14 beinhaltet. Beispielsweise kann
die Diagnoseanwendung 82 eine Alarmanzeigeanwendung sein,
die Alarmmeldungen empfängt
und einem Bediener anzeigt. Falls gewünscht, kann solch eine Alarmanzeigeanwendung
eine Form annehmen, wie sie im US-Patent Nr. 5,768,119 mit dem Titel „Process
Control System Including Alarm Priority Adjustment" und der US-Patentanmeldung
Nr. 09/707,580 mit dem Titel „Integrated
Alarm Display in a Process Control Network" offenbart ist, die beide dem Übernehmer
dieses Patents zugeteilt sind und hiermit ausdrücklich durch Bezugnahme mit
aufgenommen werden. Es wird jedoch klar, dass die Alarmanzeige oder
das Alarmbanner dieser Patente Alarme sowohl vom Prozesssteuerungssystem 12 als
auch dem Sicherheitssystem 14 empfangen und in einer integrierten
Alarmanzeige anzeigen kann, da die Alarme aus beiden Systemen 12 und 14 zum
Bedienerarbeitsplatzrechner 16 geschickt werden, der die
Alarmanzeigeanwendung ausführt,
und werden als Alarme aus unterschiedlichen Gerätearten erkennbar sein, einschließlich, ob
es sich um Alarme entweder aus dem Prozesssteuerungssystem oder
dem Sicherheitssystem handelt. Falls gewünscht, kann ein Bediener die
in einem Alarmbanner angezeigten Sicherheitsalarme genauso wie Prozesssteuerungsalarme beantworten
(z.B. quittieren, sperren, etc.). Beispielsweise kann der Bediener
oder Benutzer unter Verwendung irgendwelcher Leistungsmerkmale der Alarmanzeige
Sicherheitsalarme quittieren, abschalten, etc. Durch solche Maßnahmen
werden Nachrichten an das geeignete Sicherheitslogikgerät 50 – 56 im
Sicherheitssystem 14 unter Verwendung von Kommunikationsverbindungen über den
Bus 22 und die Rückwandplatine 76 verschickt,
wodurch das Sicherheitssystem 14 dazu veranlasst wird,
die entsprechende Maßnahme
im Hinblick auf den Sicherheitsalarm zu ergreifen. Auf ähnliche
Weise können andere
Diagnoseanwendungen Diagnoseinformationen oder -daten anzeigen,
die sowohl aus dem Prozesssteuerungssystem 12 als auch
dem Sicherheitssystem 14 erhalten werden, weil diese Systeme
dieselben Typen und Arten von Parametern, Sicherung und Verweisen
bzw. Bezügen
benutzen, so dass alle Daten aus einem der Systeme 12 und 14 in
einer Anzeige oder Ansicht integriert werden können, die herkömmlicher
Weise für
ein Prozesssteuerungssystem vorgesehen ist.Conversely, the diagnostic application 82 be used to provide a user, such as a process control operator, a security operator, etc., with one or more displays, if so desired, either in separate views or in one and the same view, which provide information about the state of the process control system 12 and the security system 14 includes. For example, the diagnostic application 82 be an alarm display application that receives alarm messages and displays them to an operator. If desired, such an alarm display application may take a form such as that described in US Patent No. 5,768,119 entitled "Process Control System Including Alarm Priority Adjustment" and US Patent Application No. 09 / 707,580 entitled "Integrated Alarm Display in a Process Control Network ", both of which are assigned to the assignee of this patent and are hereby expressly incorporated by reference. However, it is clear that the alarm display or alarm banner of these patents alarms both from the process control system 12 as well as the security system 14 can be received and displayed in an integrated alarm display, since the alarms from both systems 12 and 14 to the operator workstation 16 that will run the alarm display application and will be recognizable as alarms from different types of devices, including whether they are alarms from either the process control system or the safety system. If desired, an operator can answer the safety alarms displayed in an alarm banner as well as process control alarms (eg acknowledge, block, etc.). For example, the operator or user can acknowledge safety alarms, switch off, etc. using any of the features of the alarm display. Such measures send messages to the appropriate safety logic device 50 - 56 in the security system 14 using communication links over the bus 22 and the backplane 76 sent, causing the security system 14 is prompted to take the appropriate action regarding the security alarm. Similarly, other diagnostic applications can display diagnostic information or data from both the process control system 12 as well as the security system 14 are obtained because these systems use the same types and types of parameters, security and references, so that all data from one of the systems 12 and 14 can be integrated into a display or view that is conventionally provided for a process control system.
Die
Benutzeroberflächenanwendung 85 kann
irgendeine Art von Oberfläche
sein, die es beispielsweise einem Benutzer ermöglicht, Datenwerte zu verarbeiten
(z.B. Auslese- oder Einschreibvorgänge durchzuführen), um
dadurch den Betrieb von Steuer- oder Sicherheitsmodulen im Steuerungssystem
und/oder dem Sicherheitssystem zu verändern und gleichzeitig den
richtigen Sicherheitsgrad und die richtige Sicherheitsart bereitzustellen.
Wenn somit beispielsweise ein Einschreibvorgang bestimmt wird, der
an einem mit dem Steuerungssystem 12 zusammenhängenden
Steuermodul wie einem der Steuermodule 75 oder einem der
Feldgeräte 42 vorgenommen
werden soll, erzwingt beispielsweise die Anwendung 85 die
richtigen Sicherheitsprozeduren, damit dieser Einschreibvorgang
stattfinden kann. Ist andererseits der Einschreibvorgang dazu bestimmt, an
einem mit dem Sicherheitssystem 14 zusammenhängenden
Modul wie an einem der Module 58 oder einem der Feldgeräte 62 vorgenommen
zu werden, erzwingt die Anwendung 85 beispielsweise die
richtigen Sicherheitsmaßnahmen
und -prozeduren, damit dieser Einschreibvorgang stattfindet, und
schickt, wenn die Sicherheitsmaßnahmen
getroffen wurden, den Schreibbefehl an das geeignete Sicherheitsgerät, ohne
dass dabei eine weitere Firewall in den Sicherheitssystemsteuerungen 50 – 56 notwendig
wäre.The user interface application 85 can be any type of interface that, for example, enables a user to process data values (e.g. to carry out read-out or write-in processes) in order to thereby change the operation of control or safety modules in the control system and / or the safety system and at the same time the correct level of safety and to provide the right type of security. If, for example, an enrollment process is therefore determined that is carried out on the control system 12 contiguous control module such as one of the control modules 75 or one of the field devices 42 For example, the application is forced 85 the correct security procedures for this enrollment process to take place. On the other hand, the enrollment process is intended to be done on one with the security system 14 connected module as on one of the modules 58 or one of the field devices 62 to be made enforces the application 85 For example, the correct security measures and procedures for this write-in to take place and, if the security measures have been taken, sends the write command to the appropriate security device without any additional firewall in the security system controls 50 - 56 would be necessary.
Auf
jeden Fall können
die Anwendungen 80, 82 und 85 separate
Konfigurations-, Diagnose- und andere Signale an jeden der Prozessrechner 24 und 26 sowie
jeden der Sicherheitssystemlogiklöser 50 – 56 schicken
und von diesen empfangen. Diese Signale können Nachrichten auf Prozessebene
umfassen, die sich auf die Steuerung der Betriebsparameter der prozesssteuerungsbezogenen
Feldgeräte 40 und 42 beziehen,
können
Nachrichten auf Sicherheitsebene umfassen, die sich auf die Steuerung
der Betriebsparameter der sicherheitsbezogenen Feldgeräte 60 und 62 beziehen,
und können
Nachrichten auf Geräteebene
umfassen, die sich auf Gerätebesonderheiten
sowohl der Prozesssteuerungs- als auch der Sicherheitssystemgeräte beziehen.
Während
die Sicherheitslogiklöser 50 – 56 so
programmiert werden können,
dass sie sowohl die Nachrichten auf Prozessebene als auch auf Sicherheitsebene erkennen
können,
sind die Sicherheitslogiklöser 50 – 56 dazu
in der Lage, zwischen den beiden Nachrichtenarten zu unterscheiden
und können
nicht durch Konfigurationssignale auf Prozessebene programmiert
oder beeinflusst werden. In einem Beispiel können die an die Prozesssteuerungsgeräte verschickten
Programmiernachrichten bestimmte Felder oder Adressen enthalten,
welche von den Sicherheitssystemgeräten erkannt werden, und welche
verhindern, dass diese Signale dazu verwendet werden, die Sicherheitssystemgeräte zu programmieren.
Insbesondere kann das Identifizierungskennzeichen (wie ein Pfadname)
oder die Adresse der an das Sicherheitssystemgerät oder -routine wie einem der
Sicherheitssystemlogikgeräte 50 – 56 zu
verschickenden oder von dort zu empfangenden Daten ein spezielles
Feld oder eine spezielle Überschrift
enthalten, die das Gerät
oder die Einheit als mit dem Sicherheitssystem 14 zusammenhängend kennzeichnet.
Ist dies der Fall, kann die in jeder Anwendung eingebettete Schreibschutzsoftware
durch das Identifizierungskennzeichen oder die Adresse, die mit
den Daten zusammenhängen,
bestimmen, wann ein Einschreibversuch in die Sicherheitssystemkomponente
erfolgen soll. Bestimmt die Schutzsoftware, dass ein Einschreibvorgang
(oder auch Auslesevorgang) für
das Sicherheitssystem ange fordert wird, kann die Schutzroutine automatisch
jede gewünschte
Schutzprozedur wie Überprüfen des
Passworts und der Berechtigung des Benutzers anwenden, um sicherzustellen,
dass der Benutzer über
die Rechte verfügt, einen
Einschreibvorgang in das/die (oder einen Auslesevorgang aus dem/der)
Sicherheitssystemgerät oder
Sicherheitssystemlogikeinheit vorzunehmen.In any case, the applications 80 . 82 and 85 separate configuration, diagnostic and other signals to each of the process computers 24 and 26 as well as each of the security system logic solvers 50 - 56 send and received by them. These signals can include messages at the process level that relate to the control of the operating parameters of the process control-related field devices 40 and 42 can relate to messages at the security level relating to the control of the operating parameters of the security-related field devices 60 and 62 and may include device level messages related to device specifics of both the process control and security system devices. While the security logic solver 50 - 56 The safety logic solvers can be programmed in such a way that they can recognize the messages at process level as well as at security level 50 - 56 able to distinguish between the two types of messages and cannot be programmed or influenced by configuration signals at the process level. In one example, the programming messages sent to the process control devices may include certain fields or addresses that are recognized by the safety system devices and that prevent these signals from being used to program the safety system devices. In particular, the identifier (such as a path name) or the address of the to the security system device or routine such as one of the security system logic devices 50 - 56 data to be sent or received from there contain a special field or a special heading that the device or the unit as with the security system 14 coherently. If this is the case, the write protection software embedded in each application can determine when an attempt to enroll in the security system component is to be made by means of the identification mark or the address which is related to the data. If the protection software determines that a write-in process (or read-out process) is requested for the security system, the protection routine can automatically apply any desired protection procedure, such as checking the password and the authorization of the user, to ensure that the user has the rights to a write-in process in the (or a read process from the) safety system device or safety system logic unit.
Falls
gewünscht,
können
die Sicherheitslogiklöser 50 – 56 im
Vergleich zur Hardware- und Softwareauslegung, die für die E/A-Karten 28 – 36 der Prozesssteuerung
verwendet werden, dieselbe oder eine andere Hardware- oder Softwareauslegung
verwenden. Der Einsatz von wechselnden Technologien für die Geräte im Prozesssteuerungssystem 12 und die
Geräte
im Sicherheitssystem 14 kann jedoch Hard- und Softwareausfälle minimieren
oder ausschalten, die eine gemeinsame Ursache haben.If desired, the safety logic solvers 50 - 56 compared to the hardware and software design used for the I / O cards 28 - 36 process control, use the same or a different hardware or software design. The use of changing technologies for the devices in the process control system 12 and the devices in the security system 14 can, however, minimize or eliminate hardware and software failures that have a common cause.
Die
Sicherheitssystemgeräte
einschließlich der
Logiklöser 50 – 56 können auch
irgendwelche beliebigen Entkopplungs- und Schutztechniken benutzen,
um die Wahrscheinlichkeit zu reduzieren oder auszuschalten, dass
unberechtigte Änderungen
an dadurch implementierten sicherheitsbezogenen Funktionen vorgenommen
werden. Beispielsweise können
die Sicherheitslogiklöser 50 – 56 und
die Konfigurationsanwendung 80 eine Person mit einem besonderen
Berechtigungsgrad oder eine Person, die sich an einem besonderen
Arbeitsplatzrechner befindet, auffordern, Änderungen an den Sicherheitsmodulen
in den Logiklösern 50 – 56 vorzunehmen, wobei
dieser Berechtigungsgrad oder diese Berechtigungsstelle sich vom
Grad oder der Stelle der Berechtigung oder des Zugriffs unterscheidet,
der/die erforderlich ist, um Änderungen
an den von den Steuerungen 24 und 26 und den E/A-Geräten 28 – 36 durchgeführten Steuerfunktionen
vorzunehmen. In diesem Fall haben nur diejenigen Personen, die in der
Sicherheitssoftware benannt sind oder sich an Arbeitsplätzen befinden,
die dazu berechtigt sind, Änderungen
am Sicherheitssystem vorzunehmen, eine Berechtigung, sicherheitsbezogene
Funktionen zu ändern,
was die Gefahr minimiert, den Betrieb des Sicherheitssystems 14 zu
verfälschen.
Wie klar wird, können
die Prozessoren in den Sicherheitslogiklösern, um einen solchen Schutz
oder eine solche Sicherung bereitzustellen, auf die eingehenden
Nachrichten zugreifen und auf passende Form und Sicherung überprüfen, und
als Wächter über Änderungen wirken,
die an den Steuermodulen 58 auf Sicherheitsebene, die in
den Sicherheitslogiklösern 50 – 56 ausgeführt werden,
vorgenommen werden. Alternativ können,
wie weiter unten noch ausführlicher
beschrieben wird, die Anwendungen, die Nachrichten an die Sicherheitslogiklöser 50 – 56 erzeugen,
Sicherungsprozeduren implementieren und den Versand einer Nachricht
verweigern, wenn der Sicherheitsgrad des Benutzers nicht angemessen
genug ist, um einen Einschreibvorgang in ein oder einen Auslesevorgang
aus einem Sicherheitssystemgerät
vorzunehmen.The security system devices including the logic solvers 50 - 56 can also use any decoupling and protection techniques to reduce or eliminate the likelihood of unauthorized changes to the security-related functions implemented thereby. For example, the security logic solvers 50 - 56 and the configuration application 80 ask a person with a special authorization level or a person who is on a special workstation to make changes to the security modules in the logic solvers 50 - 56 This level of authorization or authority differs from the degree or location of authorization or access required to make changes to the controls 24 and 26 and the I / O devices 28 - 36 carried out control functions. In this case, only those persons who are named in the security software or who are in workplaces who are authorized to make changes to the security system are authorized to change security-related functions, which minimizes the risk of the operation of the security system 14 to falsify. As will be clear, the processors in the security logic solvers, to provide such protection or security, can access the incoming messages and check for proper form and security, and act as watchers for changes made to the control modules 58 at the security level that in the security logic solvers 50 - 56 be carried out. Alternatively, as will be described in more detail below, the applications can send the messages to the security logic solvers 50 - 56 generate, implement security procedures, and refuse to send a message if the level of security of the user is not adequate enough to write to or read from a security system device.
Somit
kann, falls gewünscht,
wenn sicherheitsbezogene Funktionen in den Logiklösern 50 – 56 erst
einmal freigegeben sind, keine Statusveränderung an den Sicherheitsfunktionen über die
Bedienerarbeitsplatzrechner 16 ohne angemessene Zugriffsrechte
vorgenommen werden, was es ermöglicht, dass
die mit dem Prozesssteuerungssystem 12 zusammenhängende Kommunikationsstruktur
dazu verwendet werden kann, eine Initialisierung für das Sicherheitssystem 14 und
eine Ablaufliste des Betriebs des Sicherheitssystems 14 bereitzustellen, aber
immer noch das Prozesssteuerungssystem 12 vom Sicherheitssystem 14 in
dem Sinne zu entkoppeln, dass Veränderungen am Prozesssteuerungssystem 12 sich
nicht auf den Betrieb des Sicherheitssystem 14 auswirken
können.Thus, if desired, safety-related functions in the logic solvers 50 - 56 once released, no status changes to the safety functions via the operator workstation 16 can be made without adequate access rights, which enables it to be connected to the process control system 12 contiguous communication structure can be used to initialize the security system 14 and a flow list of the operation of the security system 14 to provide, but still the process control system 12 from the security system 14 decouple in the sense that changes to the process control system 12 does not affect the operation of the security system 14 can impact.
3 stellt eine Bildschirmmaske 183 dar, die
durch die Konfigurationsroutine 80 von 1 erzeugt werden kann, und die eine Konfigurationsdarstellung
veranschaulicht, bei der das Sicherheitssystem 14 (einschließlich der
Logiklöser 50 – 56 und
der Sicherheitsfeldgeräte 60, 62)
mit dem Prozesssteuerungssystem 12 integriert ist. Es wird
klar, dass die Konfigurationsbildschirmmaske 183 von 3 die Art und Weise darstellt,
auf die die Konfigurationsanwendung 80 die mit den verschiedenen
Geräten
innerhalb der Prozessanlage 10 zusammenhängende Software
konfiguriert hat und von einem Systemtechniker dazu verwendet werden
kann, um die gegenwärtige
Konfiguration der Prozessanlage zu erstellen oder zu verändern, indem
eine neue Konfigurationssoftware auf die Geräte innerhalb der Prozessanlage 10,
einschließlich
der Prozesssteuerungssystem- und Sicherheitssystemgeräte heruntergeladen
wird. 3 puts a screen mask 183 represented by the configuration routine 80 of 1 can be generated, and which is a configuration position illustrates where the security system 14 (including the logic solver 50 - 56 and the safety field devices 60 . 62 ) with the process control system 12 is integrated. It becomes clear that the configuration screen mask 183 of 3 represents the way in which the configuration application 80 those with the different devices within the process plant 10 has configured related software and can be used by a system engineer to create or change the current configuration of the process plant by adding new configuration software to the devices within the process plant 10 , including process control system and safety system devices.
Wie
in der Bildschirmmaske 183 dargestellt ist, umfasst die
Prozessanlage 10 einen physikalischen Netzabschnitt 184,
der zur Anzeige der physikalischen Verknüpfungen der Geräte innerhalb
der Prozessanlage 10 verwendet wird, und einen Sicherheitsnetzabschnitt 185,
der zum Konfigurieren von Sicherheitssystemgeräten verwendet wird. Der physikalische
Netzabschnitt 184 umfasst einen Steuernetzabschnitt 186 mit
einer Steuerung 187 (CTRL1 genannt). Der Rechner 187,
bei dem es sich um einen der Rechner 24, 26 von 1 handeln kann, umfasst
eine Gruppe zugeteilter Module 188, welche Steuermodule
sind, die im Rechner 187 gespeichert sind und von diesem
ausgeführt
werden, und einen E/A-Geräteabschnitt 189,
der zu Kommunikationszwecken an die Steuerung 187 angeschlossen
ist. Der E/A-Geräteabschnitt 189 ist
erweitert, um alle Karten 190 darzustellen, die an den
Rechner 187 (CTRL1) über
eine der Rückwandplatinen 76 von 1 angeschlossen sind. In
diesem Beispiel umfasst der E/A-Geräteabschnitt 189 Eingabe-/Ausgabekarten
C01 – C05,
C11 – C15
und C21 der Prozesssteuerung. Jede dieser Karten kann erweitert werden,
um die Kennung der unterschiedlichen Feldgeräte oder andere damit zusammenhängende Informationen
darzustellen (welche Feldgeräte
einzelne der Feldgeräte 40 und 42 von 1 sind), die an jede dieser
Karten angeschlossen sind. Auf ähnliche
Weise sind zur Darstellung der physikalischen Anschlüsse zwei
Sicherheitssystemkarten C07 (BLR1BMS genannt) und C017 (noch nicht
konfiguriert) in schraffiertem Format dargestellt und können in
diesem Abschnitt nicht erweitert werden, weil sie nicht in und durch
das Steuernetz konfiguriert werden können. Aber, wie klar wird,
können
die Geräte,
die mit dem Prozesssteuerungssystem 12 zusammenhängen, unter
Verwendung des Steuernetzabschnitts 186 der Bildschirmmaske 183 konfiguriert
werden, indem Steuermodule, E/A-Geräte und/oder Feldgeräte in diesem
Abschnitt der Konfigurationsdarstellung hinzugefügt, gelöscht oder verändert werden.As in the screen mask 183 the process plant is shown 10 a physical network section 184 , which is used to display the physical links of the devices within the process plant 10 is used and a safety net section 185 used to configure security system devices. The physical network section 184 includes a control network section 186 with a controller 187 (Called CTRL1). The computer 187 , which is one of the computers 24 . 26 of 1 can act, comprises a group of assigned modules 188 which control modules are in the calculator 187 stored and executed by it, and an I / O device section 189 to the controller for communication purposes 187 connected. The I / O device section 189 is expanded to include all cards 190 to represent that to the calculator 187 (CTRL1) via one of the backplanes 76 of 1 are connected. In this example, the I / O device section includes 189 Input / output cards C01 - C05, C11 - C15 and C21 of the process control. Each of these cards can be expanded to display the identification of the different field devices or other related information (which field devices are individual ones of the field devices 40 and 42 of 1 connected to each of these cards. Similarly, to represent the physical connections, two security system cards C07 (called BLR1BMS) and C017 (not yet configured) are shown in hatched format and cannot be expanded in this section because they cannot be configured in and by the control network. But, as it becomes clear, the devices that work with the process control system 12 related, using the control network section 186 the screen mask 183 can be configured by adding, deleting or changing control modules, I / O devices and / or field devices in this section of the configuration view.
Das
Sicherheitssystem 14 ist im Sicherheitsnetzabschnitt 185 der
Bildschirmmaske 183 als drei Sicherheitslogiklöser 191 – 193 umfassend
dargestellt, die als BLR1BMS, BLR2BM5 und LS1 bezeichnet sind. Gleichermaßen können, falls
gewünscht, Nachrichtenverbreitungsgeräte (wie
die MPDs 70 und 72 von 1) im Sicherheitsnetzabschnitt 185 dargestellt
sein. In der Bildschirmmaske 183 ist der Sicherheitslogiklöser 191 erweitert,
um darzustellen, dass er zugewiesene Sicherheitsmodule, einen oder mehrere
Kanäle
(die an die Sicherheitsfeldgeräte
wie die Geräte 60 und 62 von 1 angeschlossen sind) und
Schutzparameter enthält.
Jedes dieser Elemente könnte
in diesem Abschnitt der Bildschirmmaske 183 weiter angezeigt,
hinzugefügt,
gelöscht
oder verändert
werden, um dadurch das Sicherheitssystem 14 zu konfigurieren.
Insbesondere kann das Sicherheitssystem 14 unter Verwendung
des Sicherheitsnetzabschnitts 185 auf eine ähnliche
Weise konfiguriert und modifiziert werden wie das Konfigurieren des
Prozesssteuerungsnetzes 12 unter Verwendung des Steuernetzabschnitts 186.
Wie klar wird, können also
Steuer- und Sicherheitsmodule erstellt und jedem dieser unterschiedlichen
Steuer- und Sicherheitssysteme zugewiesen werden, indem das Verfahren
zum Konfigurieren eines Prozesssteuerungssystems verwendet wird,
wie es im US-Patent Nr. 5,838,563 beschrieben ist, welches dem Übernehmer
dieses Patents zugeteilt ist und hiermit ausdrücklich durch Bezugnahme mit
aufgenommen wird.The security system 14 is in the safety net section 185 the screen mask 183 as three security logic solvers 191 - 193 comprehensively shown, which are designated as BLR1BMS, BLR2BM5 and LS1. Likewise, if desired, message distribution devices (such as the MPDs 70 and 72 of 1 ) in the safety net section 185 be shown. In the screen mask 183 is the security logic solver 191 expanded to show that it has assigned safety modules, one or more channels (to the safety field devices such as the devices 60 and 62 of 1 are connected) and contains protection parameters. Each of these elements could be in this section of the screen mask 183 continue to be displayed, added, deleted or changed, thereby reducing the security system 14 to configure. In particular, the security system 14 using the security network section 185 configured and modified in a manner similar to configuring the process control network 12 using the control network section 186 , As will be appreciated, control and safety modules can thus be created and assigned to each of these different control and safety systems using the process configuration method described in U.S. Patent No. 5,838,563, assigned to the assignee of this patent and is hereby expressly incorporated by reference.
Allgemein
ausgedrückt
können
jedoch Sicherheitslogikmodule aus Modulvorlageobjekten erstellt
werden, die in einer Konfigurationsbibliothek gespeichert und dazu
ausgelegt sind, in einem speziellen Sicherheitslogiklöser zum
Einsatz zu kommen, um Sicherheitsfunktionen im Hinblick auf spezielle Sicherheitsfeldgeräte innerhalb
der Prozessanlage 10 zu erfüllen. Um einen Sicherheitslogikmodul
zu erstellen, kann ein Sicherheitstechniker eine spezielle Steuervorlage
kopieren (die dazu verwendet werden kann, um sowohl in Prozesssterungen
ablaufende Prozesssteuerungsmodule als auch in Sicherheitslogiklösern ablaufende
Sicherheitslogikmodule zu erstellen), um einen bestimmten Sicherheitslogikmodul zu
erstellen, und kann diesen Sicher heitslogikmodul einem bestimmten
Sicherheitselement, wie einem der Sicherheitslogiklöser zuweisen,
indem dieser Sicherheitslogikmodul durch Drag-and-Drop auf oder unter
eine Anzeige des gewünschten
Sicherheitslogiklösers
in der Konfigurationsbildschirmmaske 183 von 3 verschoben wird. Bei der
Implementierung des offenbarten Systems entsteht eine neue Benutzerrolle
als Sicherheitstechniker. Beim Konfigurieren des Sicherheitssystems 14 kann
der Systemtechniker, der den Prozesssteuerungsabschnitt bzw. -teil leitet,
nicht die geeigneten Rechte haben, um Sicherheitsmodule zu konfigurieren,
und somit wird eine Konfiguration der Sicherheitsmodule von einem
Sicherheitstechniker durchgeführt.
Somit lässt
eine Sicherung innerhalb des Systems die Berufsbeschreibung gesonderter
Sicherheits- und Systemtechniker zu.In general terms, however, safety logic modules can be created from module template objects that are stored in a configuration library and are designed to be used in a special safety logic solver in order to perform safety functions with regard to special safety field devices within the process plant 10 to fulfill. To create a safety logic module, a safety technician can copy a special control template (which can be used to create process control modules that run in process starters as well as safety logic modules that run in safety logic solvers) to create a specific safety logic module and can assign that safety logic module to a specific one Assign security element, such as one of the security logic solvers, by dragging and dropping this security logic module onto or below a display of the desired security logic solver in the configuration screen mask 183 of 3 is moved. Implementing the disclosed system creates a new user role as a security technician. When configuring the security system 14 the system technician who heads the process control section may not have the appropriate rights to configure security modules, and thus configuration of the security modules is performed by a security technician. A backup within the system thus leaves the job description of separate security and system technicians to.
In
einem besonderen Beispiel kann ein Sicherheitstechniker Sicherheitslogiklöser unter
dem Sicherheitsnetzabschnitt 185 hinzufügen, indem eine (nicht gezeigte)
Menüoption „Add Logic
Solver" aus einem
Sicherheitsnetzmenü gewählt wird
(welches zum Beispiel ein Pop-up-Menü oder ein Pull-down-Menü sein kann).
Dabei wird ein Logiklöser
mit dem nächsten
verfügbaren
Systemnamen unter dem Sicherheitsnetz 185 erstellt. Automatisch
erstellte Systemnamen können
beispielsweise mit LS1 beginnen, können aber auch zu irgendeinem
allgemein unverwechselbaren Namen im Konfigurationssystem für die Prozessanlage 10 umbenannt
werden. 3 stellt den
Fall dar, bei dem zwei Logiklöser
umbenannt wurden und einer (LS1) nicht umbenannt wurde. An diesem
Punkt ist der Logiklöser
immer noch ein Platzhalter, der nicht an einen physikalischen Logiklöser gebunden
ist. Danach kann der Benutzer einen Logiklöser durch Drag-and-Drop von unter
dem physikalischen Netzabschnitt 184 (wie demjenigen der
Karten unter dem E/A-Abschnitt 189) auf den Sicherheitsnetzabschnitt 185 verschieben, um
einen bestimmten physikalischen Logiklöser (d.h., eine Karte) an den
erstellten Platzhalter zu binden. Wenn ein bestimmter Logiklöser unter
dem Sicherheitsnetzabschnitt 185 erst einmal gebunden ist, erfolgen
an dem und auf den speziellen physikalischen Logiklöser heruntergeladene
Konfigurationsveränderungen,
wie unter dem physikalischen Netzabschnitt 184 spezifiziert
ist. Darüber
hinaus kann, wenn einmal gebunden, der Logiklöser unter dem Sicherheitsnetzabschnitt 185 den
physikalischen Pfad in Klammern und der Logiklöser (die Karte) unter dem physikalischen
Netzabschnitt 184 den Logiklösernamen in Klammern anzeigen.
In 3 sind das Sicherheitslogikgerät 191 und
die Karte C07 auf diese Weise aneinander gebunden. Die Karte C07
unter dem physikalischen Netzabschnitt 184 ist durchgestrichen,
um darzustellen, dass sie unter dem Prozesssteuerungsnetzabschnitt 186 nicht
konfiguriert werden kann, sondern statt dessen über den Sicherheitsnetzabschnitt 185 konfiguriert
werden muss. Noch weiter darüber
hinaus zeigt ein Abschnitt Ports [Fieldbus] unter dem Sicherheitsnetzabschnitt 185 Fieldbusports
an, denen Fieldbus-Sicherheitsgeräte hinzugefügt oder
an die Sicherheitslogikeinheit oder die Sicherheitssteuerung 191 angeschlossen
werden können.In a particular example, a security technician may have security logic solvers under the security network section 185 add by selecting an "Add Logic Solver" menu option (not shown) from a safety net menu (which may be, for example, a pop-up menu or a pull-down menu). This will add a logic solver with the next available system name below the safety net 185 created. Automatically created system names can start with LS1, for example, but can also refer to any generally distinctive name in the configuration system for the process plant 10 be renamed. 3 represents the case where two logic solvers were renamed and one (LS1) was not renamed. At this point, the logic solver is still a placeholder that is not tied to a physical logic solver. After that, the user can drag and drop a logic solver from under the physical network section 184 (like that of the cards under the I / O section 189 ) on the safety net section 185 move to bind a specific physical logic solver (ie, a card) to the placeholder created. If a certain logic solver under the safety net section 185 Once bound, configuration changes are downloaded to and downloaded to the special physical logic solver, as under the physical network section 184 is specified. In addition, once bound, the logic solver can be placed under the safety net section 185 the physical path in parentheses and the logic solver (the card) under the physical network section 184 display the logic solver name in parentheses. In 3 are the safety logic device 191 and card C07 bound together in this way. Card C07 under the physical network section 184 is crossed out to show that it is under the process control network section 186 cannot be configured, but instead via the safety network section 185 must be configured. Still further a section shows Ports [Fieldbus] under the safety net section 185 Fieldbus ports to which Fieldbus safety devices are added or to the safety logic unit or the safety controller 191 can be connected.
Falls
gewünscht
kann ein Binden auch dadurch erfolgen, dass ein ungebundener Logiklöser unter
dem Sicherheitsnetzabschnitt 185 zu einem ungebundenem
Logiklöser
unter dem physikalischen Netzabschnitt 184 gezogen wird,
oder ein ungebundener Logiklöser
unter dem physikalischen Netzabschnitt 184 unter den Sicherheitsnetzabschnitt 185 verschoben
wird. In jedem Fall führt
das Binden eines Platzhalters an einen physikalischen Logiklöser zu einem
in Klammern gezeigten Verweis. Natürlich ist das Verschieben eines
Platzhalters unter dem Sicherheitsnetzabschnitt 185 zu
E/A unter einem Rechner in einem Steuernetzabschnitt nicht unterstützt (und
wird genaugenommen vom Sicherheitssystem verhindert), so dass es
nicht möglich
ist, eine Logiklöserkarte
unter einem E/A-Gerät des Prozessrechners zu
erstellen. Dies sorgt für
eine funktionale Trennung zwischen den Prozesssteuerungs- und den
Sicherheitsgeräten.
Niedrigrangigere Sicherheitselemente wie Sicherheitsfeldgeräte, Sicherheitsmodule,
Parameter, etc. können
einem bestimmten Sicherheitslogiklöser zugewiesen oder an ihn
gebunden werden, indem eine Anzeige dieser niedrigrangigeren Elemente
an die geeignete Stelle der Bildschirmmaske 183 (z.B. durch
Drag-and-Drop) gesetzt wird.If desired, binding can also be done by having an unbound logic solver under the safety network section 185 to an unbound logic solver under the physical network section 184 is pulled, or an unbound logic solver under the physical network section 184 under the safety net section 185 is moved. In any case, binding a placeholder to a physical logic solver leads to a reference shown in parentheses. Of course, moving a placeholder is under the safety net section 185 to I / O under a computer in a control network section is not supported (and is actually prevented by the security system), so that it is not possible to create a logic solver card under an I / O device of the process computer. This ensures a functional separation between the process control and the safety devices. Lower-level security elements such as security field devices, security modules, parameters, etc. can be assigned to or bound to a specific security logic solver by displaying these lower-level elements in the appropriate position on the screen mask 183 (e.g. by drag-and-drop).
Selbstverständlich kann
aber auch eine ähnliche
Technik verwendet werden, um das Prozesssteuerungsnetz 186 unter
Verwendung der Konfigurationsbildschirmmaske 183 zu konfigurieren,
so dass sowohl das Prozesssteuerungsnetz(system) als auch das Sicherheitssystem
unter Verwendung derselben Anwendung konfiguriert werden kann, und
um die Wechselbeziehungen zwischen Elementen im Prozesssteuerungs-
und Sicherheitsnetz festzulegen. Zusätzlich können, weil die Konfigurationsanwendung 80 dasselbe
Benennungskonstrukt verwendet, um sowohl das Prozesssteuerungsnetz 186 als auch
das Sicherheitsnetz 185 zu konfigurieren (wobei Änderungen
in den Feldern dieser Namen dazu verwendet werden, zu bestimmen,
ob ein Element mit dem Prozesssteuerungs- oder dem Sicherheitsnetz
zusammenhängt),
alle anderen Anwendungen leicht basierend auf dem mit den Daten
verbundenen Namen oder (Identifizierungs-)Kennzeichen feststellen,
ob Daten oder Signale von einem Prozesssteuerungs- oder einem Sicherheitselement
stammen oder an dieses geschickt werden. Als Ergebnis dieser gemeinsamen
Konfigurations- und Benennungsstruktur müssen Daten aus dem Sicherheitssystem
nicht dem Prozesssteuerungssystem oder umgekehrt zugeordnet werden.
Statt dessen kann jede Anwendung Daten oder Befehle zu jedem der
Prozesssteuerungs- oder Sicherheitssystemgeräte schicken oder davon empfangen
(vorausgesetzt, die Sicherheitsmaßnahmen sind erfüllt) und
basierend auf dem Namen oder Identifizierungskennzeichen des Geräts oder
der logischen Einheit, an die die Daten geschickt werden, nachvollziehen,
zu welchem System diese Daten gehören.Of course, a similar technique can also be used to control the process control network 186 using the configuration screen mask 183 to configure so that both the process control network (system) and the safety system can be configured using the same application, and to define the interrelationships between elements in the process control and safety network. In addition, because of the configuration application 80 the same naming construct used to both the process control network 186 as well as the safety net 185 to configure (using changes in the fields of these names to determine whether an element is related to the process control or safety network), easily identify all other applications based on the name or identifier associated with the data, whether data or signals come from or are sent to a process control or safety element. As a result of this common configuration and naming structure, data from the safety system need not be assigned to the process control system or vice versa. Instead, each application can send or receive data or commands to any of the process control or security system devices (provided the security measures are in place) and understand them based on the name or identifier of the device or logical unit to which the data is being sent, to which system this data belongs.
Darüber hinaus
kann aufgrund der gemeinsamen Benennungsstruktur, die zwischen den
Prozesssteuerungssystemgeräten
und der Prozesssteuerungssystemlogik und der Sicherheitssystemlogik und
den Sicherheitssystemgeräten
verwendet wird, und aufgrund dessen, dass die Konfigurationsdatenbank
Daten für
alle diese Entitäten
speichert, ein Systemtechniker Prozesssteuerungsmodule Sicherheitslogikmodule
ansprechen lassen und umgekehrt (sie also miteinander kommunizieren
lassen), ohne Zuordnungen vornehmen zu müssen. Der Systemtechniker kann
nämlich
Sicherheitslogikmodule so konfigurieren, dass sie Prozesssteuerungslogikmodulen
ansprechen oder umgekehrt, auf dieselbe Weise wie der Techniker
zwei Sicherheitslogikmodule oder zwei Prozesssteuerungslogikmodule
aufeinander verweisen lässt.
Bekanntlich kann ein solches Verweisen grafisch erfolgen, indem
auf einer grafischen Konfigurationsbildschirmmaske Linien zwischen
den geeigneten Ein- und Ausgängen
der beiden Module gezogen werden, oder indem die Parameter, die
in Bezug gesetzt werden sollen bzw. auf die verwiesen werden soll,
manuell durch das richtige Identifizierungskennzeichen, den richtigen
Namen, die richtige Adresse, etc. festgelegt werden. In einer Ausführungsform
können
diese Verweise bzw. Bezüge
unter Verwendung des hinlänglich
bekannten Namens- und Parameterverweisschemas hergestellt werden.
In diesem Fall werden der Name des Moduls oder einer anderen Entität und der
Parameter dieser Entität
als Teil des (Identifizierungs-)Kennzeichens (Pfads) festgelegt,
das (der) mit einer Verbindung zwischen den beiden Modulen zusammenhängt.In addition, due to the common naming structure used between the process control system devices and the process control system logic and the security system logic and the security system devices, and due to the fact that the configuration database stores data for all of these entities, a system technician process control modules can be secure Let the logic modules address and vice versa (i.e. let them communicate with each other) without having to make assignments. This is because the system technician can configure safety logic modules to address process control logic modules or vice versa, in the same way that the technician references two safety logic modules or two process control logic modules to one another. As is known, such a reference can be made graphically by drawing lines between the appropriate inputs and outputs of the two modules on a graphical configuration screen mask, or by manually setting the parameters to be related or to which reference is to be made by the correct one Identifiers, the right name, the right address, etc. can be set. In one embodiment, these references can be made using the well-known name and parameter reference scheme. In this case, the name of the module or another entity and the parameters of that entity are set as part of the (identification) label (path) associated with a connection between the two modules.
Noch
weiter darüber
hinaus können,
falls gewünscht,
die Konfigurationsdaten, die mit dem Prozesssteuerungs- und dem
Sicherheitssystem zusammenhängen,
auf integrierte Weise in einer gemeinsamen Datenbank hinterlegt
werden, und es kann auf sie durch eine einzelne Anwendung, wie der
Konfigurationsanwendung 80 zu jedem beliebigen Zeitpunkt zugegriffen
werden. Alternativ können
Konfigurationsdaten für
unterschiedliche Abschnitte der Anlage an verschiedene Stellen in
der Anlage 10 verteilt und dort gespeichert werden. Zum
Beispiel können
die Konfigurationsdaten für
den Knoten 18 der Anlage von 1 (für sowohl
die Prozesssteuerungs- als auch die Sicherheitssystemgeräte, die
mit dem Knoten 18 zusammenhängen) im Rechner 24 des
Knotens 18 als Datenbank oder Speicher 202 gespeichert
werden, und die Konfigurationsdaten für den Knoten 20 der
Anlage von 1 (für sowohl
die Prozesssteuerungs- als auch die Sicherheitssystemgeräte, die
mit dem Knoten 20 zusammenhängen) können in der Steuerung 26 des
Knotens 20 als Datenbank oder Speicher 204 gespeichert
werden.Still further, if desired, the configuration data related to the process control and security systems can be stored in an integrated manner in a common database and can be accessed by a single application, such as the configuration application 80 can be accessed at any time. Alternatively, configuration data for different sections of the system can be sent to different locations in the system 10 distributed and stored there. For example, the configuration data for the node 18 the plant of 1 (for both the process control and security system devices connected to the node 18 related) in the computer 24 of the knot 18 as a database or storage 202 are saved, and the configuration data for the node 20 the plant of 1 (for both the process control and security system devices connected to the node 20 related) can be in the control 26 of the knot 20 as a database or storage 204 get saved.
Auf
diese Weise können
Konfigurationsvorgänge
von derselben Konfigurationsanwendung aus bewerkstelligt werden,
um sowohl das Prozesssteuerungsnetz 12 als auch das Sicherheitsnetz 14,
die mit der Anlage 10 zusammenhängen, zu konfigurieren, und
die Konfigurationsdaten für
beide dieser Systeme können
zusammengefasst werden, um die Wechselbeziehungen zwischen der Hard-
und Software des Pro zesssteuerungs- und Sicherheitssystems darzustellen.
Aufgrund dessen, dass das gemeinsame Konfigurationsparadigma verwendet
wird, kann jedoch die Namens- und Datenadressierung der Elemente
im Prozesssteuerungssystem 12 und Sicherheitssystem 14 sichergestellt
werden, um einen eindeutigen Namen oder eine eindeutige Adresse
für jedes
Gerät so
vorzusehen, dass Sicherheitssystemkomponenten (und -daten) leicht
von Prozesssteuerungssystemkomponenten (und -daten) unterschieden
werden können.
Dies wiederum schafft die Notwendigkeit aus der Welt, Daten zuordnen
zu müssen. Wie
ersichtlich wird, verwendet die Konfigurationsanwendung 80 ein
gemeinsames Kennzeichnungs-, Benennungs-, Adressierungs- und Verweisformat
für sowohl
das Prozesssteuerungssystem (und alle darin vorhandenen logischen
und physikalischen Entitäten)
als auch das Sicherheitssystem (und alle darin vorhandenen logischen
und physikalischen Entitäten).In this way, configuration operations can be accomplished from the same configuration application to both the process control network 12 as well as the safety net 14 that with the plant 10 related, to configure, and the configuration data for both of these systems can be summarized to represent the interrelationships between the hardware and software of the process control and security system. Due to the fact that the common configuration paradigm is used, however, the name and data addressing of the elements in the process control system 12 and security system 14 be ensured to provide a unique name or address for each device so that safety system components (and data) can be easily distinguished from process control system components (and data). This in turn eliminates the need to assign data to the world. As can be seen, the configuration application uses 80 a common labeling, naming, addressing and reference format for both the process control system (and all logical and physical entities contained therein) and the safety system (and all logical and physical entities contained therein).
Noch
weiter darüber
hinaus müssen
alle Konfigurations- und Ablaufpunkte, die standortabhängig (oder
BEREICHsabhängig)
sind, nur einmal für
das Prozesssteuerungs- und Sicherheitssystem (und nicht separat
für jedes
System) festgelegt werden, weil die Prozesssteuerungs- und die Sicherheitsmodule
innerhalb desselben Bereichs aneinander gebunden sind. Das ist logisch,
weil jeder Bereich eine logische Gruppierung von Ausrüstung mit
sowohl Prozesssteuerungssystem- als auch Sicherheitssystemausrüstung (und
-logik) ist. Beispielsweise kann es in dem Bereich mehrere Dampfkessel
geben, welche „BOILER" genannt werden könnten. Jeder
Dampfkessel innerhalb des „BOILER"-Bereichs besitzt
seine eigene Sicherheits- und Prozesssteuerungsausrüstung und
-logik. Indem sich damit im Bereich „BOILER" die Sicherheitsmodule am selben logischen
Standort befinden wie die Prozessmodule, werden alle relevanten
Informationen für
den Benutzer zusammengefasst, und es kann über eine einzige oder gemeinsame
Konfigurationsanwendung auf sie zugegriffen werden. Falls gewünscht, kann
in diesem Beispiel der Benutzer einen weiteren ,verzeichnisartigen
Ordner' (wie die
in 3 dargestellten Ordner) unter
dem „BOILER"-Bereich anlegen,
der UNITS genannt wird. In diesem Ordner könnte es eine Boiler Unit 1,
eine Boiler Unit 2 und eine Boiler Unit 3 geben, die mit drei verschiedenen
Dampf kesseln zusammenhängen.
Wieder können
sowohl Sicherheits- als auch Prozesssteuerungsmodule unter das richtige Boiler
Unit-Verzeichnis gesetzt werden, um anzuzeigen, welche Sicherheitsmodule
(und Prozesssteuerungsmodule) für
welchen Dampfkessel verwendet werden, wodurch weitere eine weitere
Untergliederung in der Konfigurationsanzeige bereitgestellt wird.Even further, all configuration and process points that are location-dependent (or AREA-dependent) only need to be defined once for the process control and safety system (and not separately for each system) because the process control and safety modules are linked to each other within the same area are. This is logical because each area is a logical grouping of equipment with both process control system and safety system equipment (and logic). For example, there may be several steam boilers in the area, which could be called "BOILER". Each steam boiler within the "BOILER" area has its own safety and process control equipment and logic. Since the safety modules are located in the same logical location as the process modules in the "BOILER" area, all relevant information for the user is summarized and can be accessed via a single or shared configuration application. In this example, if desired, the User another directory-like folder (like the one in 3 folder) below the "BOILER" area, which is called UNITS. In this folder there could be a boiler unit 1, a boiler unit 2 and a boiler unit 3, which are related to three different steam boilers. Again, both security - As well as process control modules are placed under the correct boiler unit directory to indicate which safety modules (and process control modules) are used for which steam boiler, whereby a further subdivision is provided in the configuration display.
Wie
ersichtlich, können
deshalb eine sicherheitsinstrumentierte System- und Prozesssteuerungskonfiguration
von denselben Technikanwendungen aus durchgeführt werden, was es ermöglicht, dass
Konfigurationsanzeige, -verwaltung, -prüfung, -sicherung, etc. von
einer einzigen Stelle aus durchgeführt werden kann. Insbesondere
können
eine einzige Verwaltungsroutine für die Konfigurationsdatenbank,
wie eine Sicherungsroutine, welches die Konfigurationsdatenbank
sichert, eine Importroutine, welches Daten in die Konfigurationsdatenbank
importiert, und weitere Routinen sowohl auf die Prozesssteuerungssystem-
als auch die Sicherheitssystemdaten in der Konfigurationsdatenbank
angewendet werden, wodurch die Anzahl an unterstützenden Anwendungen reduziert
wird, die bei gesonderten Systemen benötigt werden. Noch weiter darüber hinaus können die
sicherheitsinstrumentierten Funktionen für einen besonderen Abschnitt
(z.B. Bereich) der Anlage 10 an derselben Stelle wie die
Prozesssteuerungskonfiguration für
eben diesen Abschnitt (z.B. Bereich) konfiguriert und gesichert
werden.As can be seen, therefore, a security instrumented system and process control configuration can be performed from the same engineering applications, which allows configuration display, management, testing, backup, etc. to be performed from a single location can be performed. In particular, a single management routine for the configuration database, such as a backup routine that backs up the configuration database, an import routine that imports data into the configuration database, and other routines can be applied to both the process control system and security system data in the configuration database, thereby increasing the number supporting applications that are required in separate systems is reduced. Even further, the safety-instrumented functions can be used for a special section (eg area) of the system 10 can be configured and saved in the same place as the process control configuration for this section (e.g. area).
Im
Ergebnis befinden sich alle relevanten Informationen für einen
Bereich sowohl aus der Prozesssteuerungs- als auch Sicherheitssystemperspektive
an einer einzigen Stelle und werden mit derselben Anwendung konfiguriert.
Insbesondere die Prozesssteuerungssystemelemente (wie die Prozesssteuerungen 24, 26 oder
die Feldgeräte 40, 42 und
die Module oder eine andere darin ausgeführte Logik) und die Sicherheitssystemelemente
(wie die Sicherheitssteuerungen 50 – 56 oder die Feldgeräte 60, 62 und
die Module oder eine andere darin ausgeführte Logik) werden zusammen
durch dieselbe Anwendung innerhalb eines Bereichs konfiguriert,
ungeachtet dessen, welcher Rechner zum Ausführen der Prozesssteuerungs-
oder Sicherheitssystemlogik eingesetzt wird. Im Ergebnis kann die
Konfigurationslogik für
sowohl das Prozesssteuerungs- als auch das Sicherheitssystem erstellt
werden, bevor bekannt ist, wie viele Rechner es dort gibt, wo die
Rechner im System (Adresse und/oder Name) angeordnet werden, und
welcher Steuerung die Logik zugewiesen wird. Aufgrund dessen muss
die physikalische Auslegung des Prozesssteuerungssystems nicht bekannt
sein, um die Sicherheitsmodule zu konfigurieren. Da diese Konfiguration
auf einer logischen anstatt einer physikalischen Basis erfolgt,
wird auch eine einfache Übertragbarkeit
zwischen Systemen, eine einfache Neuzuweisung von Modulen zu Logiklösern als
Reaktion auf Veränderungen
in den physikalischen Auslegungen innerhalb der Prozessanlage, und
das Erstellen auswählbarer
Bibliotheksvorlagen möglich,
die verwendet werden sollen, um eine Prozesssteuerungs- und Sicherheitssystemkonfigurationslogik
zu erstellen. Auch, weil die Verweise zwischen Sicherheitsmodulen über Name/Parameter des
Sicherheitsmoduls hergestellt werden, kann eine Kommunikation zwischen
den Sicherheitsmodulen unabhängig
vom Logiklöser
konfiguriert werden, dem die Sicherheitsmodule zugewiesen sind.As a result, all relevant information for an area from both the process control and safety system perspective is in one place and is configured with the same application. In particular, the process control system elements (such as the process controls 24 . 26 or the field devices 40 . 42 and the modules or other logic executed therein) and the safety system elements (such as the safety controls 50 - 56 or the field devices 60 . 62 and the modules or other logic executed therein) are configured together by the same application within a range, regardless of which computer is used to execute the process control or safety system logic. As a result, the configuration logic for both the process control and the safety system can be created before it is known how many computers there are, where the computers are arranged in the system (address and / or name), and which controller the logic is assigned to , Because of this, the physical design of the process control system need not be known in order to configure the safety modules. Since this configuration is done on a logical rather than a physical basis, it also enables easy transferability between systems, a simple reassignment of modules to logic solvers in response to changes in the physical designs within the process plant, and the creation of selectable library templates to be used to create process control and safety system configuration logic. Also, because the references between security modules are established via the name / parameters of the security module, communication between the security modules can be configured independently of the logic solver to which the security modules are assigned.
Wie
vorstehend angemerkt, verfügt
die Konfigurationsanwendung, obwohl die Prozesssteuerungs- und Sicherheitssystemkonfiguration
integriert ist, über
Schutzmaßnahmen,
die die Benutzer bestimmen können,
die Konfigurationsvorgänge
am Prozesssteuerungs- und Sicherheitssystem separat vornehmen können. Insbesondere
kann die Konfigurationsanwendung 80 so installiert werden,
dass auf sie über
verschiedene Benutzer-Accounts zugegriffen werden kann, wobei jeder
Benutzer-Account mit einer speziellen Benutzereinheit zusammenhängt. Bei
einer Benutzereinheit kann es sich um einen oder mehrere Benutzer
handeln und in manchen Fällen um
eine Anwendung, die unabhängig
von einem menschlichen Wesen arbeitet. Der Einfachheit halber wird
hier austauschbar auf Benutzer und Benutzer-Accounts Bezug genommen.As noted above, although the process control and security system configuration is integrated, the configuration application has safeguards that users can determine that can configure the process control and security system separately. In particular, the configuration application 80 installed so that they can be accessed through different user accounts, each user account being associated with a specific user unit. A user unit can be one or more users and in some cases an application that works independently of a human being. For the sake of simplicity, interchangeable reference is made here to users and user accounts.
Wie
klar wird, kann jeder Benutzer-Account unterschiedliche Zugriffsrechte
haben oder zugeteilt bekommen, die die Rechte der Benutzereinheit
im Hinblick auf sowohl das Prozesssteuerungs- als auch Sicherheitssystem
definieren. Ein und derselbe Benutzer-Account kann andere Zugriffsrechte
für Prozesssteuerungssystemkonfigurationsfunktionen
als für
Sicherheitssystemkonfigurationsfunktionen haben, und jeder Benutzer-Account
kann eine gewisse Zugriffsebene sowohl für das Prozesssteuerungs- als auch
das Sicherheitssystem festlegen, sogar, dass kein Zugriff besteht.
Falls gewünscht,
kann ein spezieller Benutzer-Account
Zugriffsrechte haben, die es der Benutzereinheit ermöglichen,
eine oder mehrere Maßnahmen
im Hinblick auf nur das Prozesssteuerungssystem zu ergreifen, eine
oder mehrere Maßnahmen
im Hinblick nur auf das Sicherheitssystem zu ergreifen, oder eine
oder mehrere Maßnahmen
im Hinblick auf sowohl das Prozesssteuerungs- als auch das Sicherheitssystem
zu ergreifen. Weiter darüber hinaus
können
verschiedene Ebenen von Zugriffsrechten für das Prozesssteuerungs- bzw.
Sicherheitssystem definiert werden, einschließlich beispielsweise einer
Ebene, die eine Benutzereinheit in die Lage versetzt, Prozesssteuerungs-
oder Sicherheitssystemdaten auszulesen, einer Ebene, die einen Benutzer
in die Lage versetzt, Prozesssteuerungs- oder Sicherheitssystemparameter
oder -einstellungen einzuschreiben oder zu verändern, einer Ebene, die einen
Benutzer in die Lage versetzt, Prozesssteuerungs- oder Sicherheitssystemmodule oder
eine andere Logik zu erstellen, einer Ebene, die einen Benutzer
in die Lage versetzt, Prozesssteuerungs- oder Sicherheitssystemmodule
auf geeignete Geräte
herunterzuladen, und einer Ebene, die einen Benutzer in die Lage
versetzt, Eichvorgänge
an einem oder mehreren Prozesssteuerungs- oder Sicherheitssystemgeräten vorzunehmen.
Natürlich können jeder
Benutzereinheit beliebig viele dieser Zugriffsrechte für das Prozesssteuerungs-
und/oder Sicherheitssystem verliehen werden, und andere mögliche Ebenen
von Rechte können
auch oder anstatt der hier aufgelisteten verwendet werden.How
it becomes clear, each user account can have different access rights
have or have been assigned the rights of the user unit
in terms of both the process control and security system
define. One and the same user account can have different access rights
for process control system configuration functions
as for
Have security system configuration functions, and any user account
can have some level of access for both process control as well
set the security system, even that there is no access.
If desired,
can have a special user account
Have access rights that allow the user unit to
one or more measures
with regard to just taking the process control system
or several measures
with regard to just take the security system, or one
or several measures
in terms of both the process control and security systems
to take. Further beyond
can
different levels of access rights for process control or
Security system can be defined, including for example one
Level that enables a user unit to process control
or read out security system data, a level that a user
enabled process control or safety system parameters
enroll or change settings, a level that one
Enables users to process control or security system modules or
to create a different logic, a level that a user
enabled process control or safety system modules
on suitable devices
download, and a level that a user is able to
offset, calibration processes
on one or more process control or safety system devices.
Of course everyone can
User unit any number of these access rights for the process control
and / or security system, and other possible levels
of rights can
also or instead of those listed here.
Auf
diese Weise kann ein Prozesssteuerungstechniker daran gehindert
werden, das Sicherheitssystem in der Anlage zu konfigurieren, und
ein Sicherheitssystemtechniker kann daran gehindert werden, das
Prozesssteuerungssystem in der Anlage zu konfigurieren. Wie vorstehend
angegeben, kann das Sicherheitssystem, welches einen Benutzerschutz
für Konfiguration
und Ablaufrechte leistet, voll in eine einzelne Anwendung (wie die
Konfigurationsanwendung) sowohl für das Prozesssteuerungs- als
auch das Sicherheitssystem integriert werden. Wie vorstehend angemerkt,
können
Benutzer-Accounts installiert werden, um die Rechte zu bestimmen,
die ein Benutzer an einer bestimmten Stelle (oder innerhalb einer
besonderen Anwendung) hat. Falls gewünscht, kann die Ausführungszeitspanne eines
Benutzers für
die Steuerung pro Bereich, sowie Prozesssteuerungs- und Sicherheitssystemfunktionalität bestimmt
werden. Somit kann einem Bediener Zugriff zu sowohl dem Sicherheits- als auch Prozesssteuerungssystem
für einen
oder mehrere bestimmte Bereiche erteilt werden, aber nicht zu anderen
Bereichen. Auf diese Weise kann eine Sicherung auf einer kombinierten
Benutzer-/Standortbasis geleistet werden. Falls gewünscht, kann
die Sicherung auch basierend auf dem Standort der Konfigurationsanwendung
oder des Computers, der diese ausführt, bewerkstelligt werden,
so dass ein Benutzer die richtigen Zugriffsrechte an einem bestimmten
Computer haben muss, um von diesem Computer aus Konfigurationsfunktionen
durchführen
zu können.In this way, a process control may be prevented from configuring the safety system in the plant, and a safety system technician may be prevented from configuring the process control system in the plant. As indicated above, the security system that provides user protection for configuration and process rights can be fully integrated into a single application (like the configuration application) for both the process control and security systems. As noted above, user accounts can be installed to determine the rights a user has at a particular location (or within a particular application). If desired, a user's execution time for area control, process control and security system functionality can be determined. Thus, an operator can be given access to both the safety and process control system for one or more specific areas, but not to other areas. In this way, security can be provided on a combined user / location basis. If desired, the backup can also be done based on the location of the configuration application or the computer running it, so that a user must have the correct access rights to a particular computer in order to perform configuration functions from that computer.
Wie
klar wird, können
Vorgänge
der Sicherheitssystemkonfiguration als wechselseitig verbundene
logische Elemente (wie Funktionsblöcke oder -module) in einer
grafischen Anzeige auf die Weise definiert werden, wie in den US-Patenten
Nr. 5,838,563; 5,940,294 und 6,078,320 offenbart ist, die alle hiermit
ausdrücklich
durch Bezugnahme hier mitaufgenommen werden. In diesem Fall kann
die Sicherheitssystemfunktionalität oder -logik (in Form von
Sicherheitssystemmodulen) unabhängig
davon erstellt werden, festlegen zu müssen, welche tatsächliche
Sicherheitssystemhardware diese Logik ausführen wird, und welche E/A-Kanäle des Sicherheitssystems
verwendet werden. Liegen die Hardware- und Kanalfestlegungen erst
einmal fest, können
einfache Vorgänge
der Hardware- und E/A-Zuteilung (wie die Drag-and-Drop-Operationen auf der Konfigurationsbildschirmmaske
von 3) verwendet werden,
um die Logik an die Hardware zu binden. Dieses Vorgehen ermöglicht,
dass Sicherheitssystemfunktionen zwischen Sicherheitssystemen in
hohem Grade übertragbar
sind, und stellt eine größere Flexibilität bei der
Installation der Hardwareanordnung und der Kanaladressierung für das Sicherheitssystem 14 bereit.
Noch darüber
hinaus können
die Sicherheitssystemlogikmodule, ähnlich wie Prozesssteuerungsmodule,
zur einfachen Wiederverwendung als Vorlagen in einer Bibliothek
gespeichert werden, um zu ermöglichen,
dass derselbe allgemeine Typ Sicherheitsmodul für eine ähnliche Ausrüstung oder
eine identische Ausrüstung
in unterschiedlichen Bereichen der Anlage wiederverwendbar sein kann.
Auf diese Weise können
die Sicherheitssystemlogikvorlagen auf die geeigneten Bereiche kopiert und
der Sicherheitssystemhardware zugeteilt werden.As will be appreciated, security system configuration operations can be defined as interconnected logic elements (such as functional blocks or modules) in a graphical display in the manner described in U.S. Patent Nos. 5,838,563; 5,940,294 and 6,078,320, all of which are hereby expressly incorporated by reference. In this case, the security system functionality or logic (in the form of security system modules) can be created regardless of having to determine which actual security system hardware will execute that logic and which I / O channels of the security system are used. Once the hardware and channel specifications have been determined, simple hardware and I / O allocation operations (such as the drag-and-drop operations on the configuration screen of 3 ) can be used to bind the logic to the hardware. This approach allows security system functions to be highly transferable between security systems and provides greater flexibility in installing the hardware arrangement and channel addressing for the security system 14 ready. In addition, similar to process control modules, the security system logic modules can be stored in a library for easy reuse as templates, to enable the same general type of security module to be reusable for similar equipment or equipment in different areas of the plant. In this way, the security system logic templates can be copied to the appropriate areas and assigned to the security system hardware.
Noch
weiter darüber
hinaus ist es wichtig, da ein Sicherheitssystem typischerweise kleiner
ist als sein dazugehöriges
Prozesssteuerungssystem, die Sicherheitssystemhardware und -logik
getrennt von der Prozesssteuerungssystemhardware und -logik leicht
auffinden und sichten zu können,
um die Zuweisung von Sicherheitslogikmodulen zur Sicherheitssystemhardware
anschauen zu können.
Das wie vorstehend im Hinblick auf 3 beschriebene Konfigurationssystem
erfüllt
diese Funktion, indem es ermöglicht,
dass die Konfigurationsinformation des Sicherheitssystems 14 und
des Prozesssteuerungssystems 12 getrennt oder unter unterschiedlichen Überschriften
im Konfigurationsdiagramm unterschieden werden kann.Still further, since a safety system is typically smaller than its associated process control system, it is important to be able to easily locate and view the safety system hardware and logic separate from the process control system hardware and logic to view the assignment of safety logic modules to the safety system hardware. The same as above with regard to 3 The configuration system described fulfills this function by allowing the configuration information of the security system 14 and the process control system 12 can be separated or differentiated under different headings in the configuration diagram.
Überdies
wird die Information aus der Sicherheitssystemlogik typischerweise
im Prozesssteuerungssystem zu Zwecken des Sperrens, etc. gebraucht.
Wie vorstehend angenommen, erforderte dies herkömmlicher Weise, dass die Konfiguration des
Sicherheitssystems in Halteregister oder andere wohldefinierte Datenstrukturen
für das
Prozesssteuerungssystem übertragen
wird, die vom Prozesssteuerungssystem bei Steuerstrategien eingesetzt werden
sollen. Bei der vorstehend beschriebenen integrierten Konfiguration
sind die Sicherheitssysteminformationen und -daten für die Prozesssteuerungssystemlogik
ohne Eintragen dieser Daten schnell verfügbar, weil alle diese Daten
in einer integrierten Konfiguration vorliegen und gespeichert sind,
und somit Daten aus dem Sicherheitssystem genauso direkt in der
Prozesssteuerungssystemlogik genutzt werden können wie Daten aus anderen
Teilen der Prozesssteuerungssystemlogik in der Prozesssteuerungssystemlogik
verwendet werden können.
Diese Integration reduziert sowohl die Zeit als auch Komplexität bei der
Konfiguration, und reduziert auch signifikant Fehler, die mit dem
Eintragen von Daten verbunden sind.moreover
the information from the security system logic is typically
used in the process control system for locking purposes, etc.
As previously assumed, this conventionally required that the configuration of the
Security system in holding registers or other well-defined data structures
for the
Transfer process control system
that are used by the process control system in control strategies
should. With the integrated configuration described above
are the safety system information and data for the process control system logic
quickly available without entering this data because all this data
are available and stored in an integrated configuration,
and thus data from the security system just as directly in the
Process control system logic can be used like data from others
Share the process control system logic in the process control system logic
can be used.
This integration reduces both the time and complexity of the
Configuration, and also significantly reduces errors associated with that
Entering data are connected.
Wie
klar wird sind auch Konfigurations- und Statusdaten der Sicherheitssystemgeräte in dieser einzelnen
Konfigurationsumgebung integriert. Dies umfasst sowohl die gerätespezifische
Information als auch die gerätebezogene
Steuersysteminformation wie die Konfiguration für die Gerätealarme. Bei einigen Kommunikationsprotokollen
wie dem Foundation Fieldbus, kann die Steuerinformation in den Feldgeräten selbst
liegen. Soll diese Information als Teil einer Sicherheitssystemfunktion
genutzt werden, ist die Möglichkeit,
diese Information in derselben Einzelkonfigurationsumgebung vorliegen
zu haben wichtig, um die Logik nachzuvollziehen. Zusätzlich kann
die Statusinformation aus irgendeinem Teil des Sicherheitssystems 14,
einschließlich
der Sensoren, Stellglieder und Logiklöser je nachdem entweder im Steuerungssystem 12 oder
im Sicherheitssystem 14 genutzt werden. Beispielsweise
kann das Herabsetzen von Auswahlschemata basierend auf der Systemgesundheit
oder das Einstellen einer Sperre im Steuerungssystem 12 basierend
auf der Gerätegesundheit
erfolgen. Solch ein gemeinsames Nutzen von Information durch das
Prozesssteuerungssystem 12 und das Sicherheitssystem 14 wäre ohne
integrierte Konfigurationsumgebung äußerst schwierig zu bewerkstelligen.As is clear, the configuration and status data of the security system devices are also integrated in this individual configuration environment. This includes both the device-specific information and the device-related control system information such as the configuration for the device alarms. With some communication protocols such as the Foundation Fieldbus, the control information can be located in the field devices themselves. If this information is to be used as part of a security system function, it is possible to use this information in the same one It is important to have a cell configuration environment in order to understand the logic. In addition, the status information can be from any part of the security system 14 , including the sensors, actuators and logic solvers depending on either in the control system 12 or in the security system 14 be used. For example, reducing selection schemes based on system health or setting a lock on the control system 12 based on device health. Such sharing of information through the process control system 12 and the security system 14 would be extremely difficult to do without an integrated configuration environment.
Wie
aus der vorstehenden Erörterung
ersichtlich wird, kann bei der integrierten Konfiguration das ganze
Vergeben von Identifizierungskennzeichen, Parameterverweisen, Namen,
Sicherung, etc. von einer gemeinsamen Datenbank aus konfiguriert werden.
Dies ermöglicht
es Benutzern, den Hebel bei Investitionen, Schulungen, etc. anzusetzen,
die beim Prozesssteuerungssystem für sicherheitskritische Funktionen
vorgesehen sind. Zusätzlich
ermöglicht es
die gemeinsame Explorer-Ansicht (wie diejenige von 3, die Prozesssteuerungsgeräte und -logik mit
Sicherheitssystemgeräten
und -logik integriert) einem Benutzer, leicht zwischen Prozess-,
Geräte- und
Sicherheitsfunktionen zu unterscheiden, einen Zusammenhang zum geeigneten
Objekt in der Ansicht herzustellen, klar Befehle für die im
Zusammenhang befindlichen, ausgewählten Objekte zu differenzieren,
etc. Auch sorgt die integrierte Hierarchie für einfaches Navigieren, Suchen,
Auflisten, etc. von bezeichneten Objekten. Ein Setzen von Präferenzen
in der Explorer-Ansicht ermöglicht
auch, dass die Funktionen, die der Benutzer nicht braucht, verdeckt
bleiben. Falls gewünscht,
kann nämlich
jeder Benutzer oder jeder Benutzer-Account unterschiedliche Präferenzen
haben, was sich auf die Art und Weise auswirkt, auf die die Konfigurationsinformation
einschließlich
Prozesssteuerungssystem- und Sicherheitssystemkonfigurationsinformation
diesem Benutzer angezeigt wird.As can be seen from the above discussion, with the integrated configuration, the entire allocation of identifiers, parameter references, names, backups, etc. can be configured from a common database. This enables users to leverage investments, training, etc. that are provided in the process control system for safety-critical functions. In addition, the shared Explorer view (like that of 3 , which integrates process control devices and logic with safety system devices and logic) a user, easily distinguishing between process, device and safety functions, establishing a connection to the suitable object in the view, clearly differentiating commands for the related, selected objects , etc. The integrated hierarchy also ensures easy navigation, searching, listing, etc. of designated objects. Setting preferences in the Explorer view also allows the functions that the user does not need to be hidden. Namely, if desired, each user or user account can have different preferences, which affects the manner in which the configuration information including process control system and security system configuration information is displayed to that user.
Zusätzlich zu
Konfigurationsvorgängen
können
Diagnosevorgänge,
die mit dem Prozesssteuerungssystem 12 und dem Sicherheitssystem 14 zusammenhängen, in
einer gemeinsamen Anwendung und einer gemeinsamen Ansicht oder Anzeige,
die einem Benutzer zur Verfügung
gestellt werden, integriert sein. Insbesondere kann die Diagnoseanwendung 82 von 1 Diagnoseinformation liefern
und Diagnosevorgänge
unter Verwendung einer gemeinsamen Schnittstelle sowohl für das Prozesssteuerungssystem 12 als
auch das Sicherheitssystem 14 durchführen. In einem Beispiel kann
die Diagnoseanwendung 82 eine Alarmanzeigeanwendung sein,
die jedwede Art von Alarmen wie Prozessalarme/-warnungen, Gerätealarme/-warnungen,
Kommunikationsalarme/-warnungen,
etc. empfängt,
die sowohl in den Prozessrechnern 24 und 26 als
auch den Sicherheitslogiklösern 50 – 56 erzeugt
oder erfasst werden. Da die von den Prozesssteuerungen 24 und 26 und den
Sicherheitslogiklösern 50 – 56 verschickten Nachrichten
als mit der Hardware/Software der Prozesssteuerung oder des Sicherheitssystems
zusammenhängend
unterschieden werden können,
können diese
Alarme oder Warnungen in einer gemeinsamen Anzeige oder in einer
gemeinsamen Diagnoseanwendung integriert werden, während die
Herkunft des Alarms im Auge behalten und angezeigt wird, das heißt, ob es
sich bei dem Alarm um einen Sicherheitssystem- oder Prozesssteuerungsalarm
handelt, und während
im Auge behalten wird, wann der Alarm ursprünglich ausgelöst oder
vom Prozesssteuerungssystem 12 oder Sicherheitssystem 14 mit
einem Zeitstempel versehen wurde.In addition to configuration operations, diagnostic operations can be performed with the process control system 12 and the security system 14 related, be integrated in a common application and a common view or display that are made available to a user. In particular, the diagnostic application 82 of 1 Deliver diagnostic information and diagnostic operations using a common interface for both the process control system 12 as well as the security system 14 carry out. In one example, the diagnostic application 82 be an alarm display application that receives any kind of alarms such as process alarms / warnings, device alarms / warnings, communication alarms / warnings, etc., both in the process computers 24 and 26 as well as the security logic solvers 50 - 56 generated or recorded. Because of the process controls 24 and 26 and the security logic solvers 50 - 56 sent messages can be distinguished as related to the hardware / software of the process control or the security system, these alarms or warnings can be integrated in a common display or in a common diagnostic application, while the origin of the alarm is kept in mind and displayed, i.e. whether the alarm is a safety system or process control alarm and while keeping track of when the alarm was initially triggered or by the process control system 12 or security system 14 has been given a time stamp.
Genauer
ausgedrückt
braucht die Diagnoseanwendung 82 von 1, weil sie auf dieselbe Weise wie vorstehend
im Hinblick auf die Konfigurationsanwendung 80 erörtert, sowohl
Prozesssteuerungs- als auch Sicherheitssystemalarme erkennen kann, eine
Art von Alarm nicht in eine Anzeige zu übertragen, die für die andere
Art von Alarm gebaut ist. Statt dessen kann die Anwendung 82 sich
einfach der Alarmerfassungs- und
Zeitstempelmechanismen bedienen, die während des Erstellens der Alarmnachricht
von einem der Logiklöser 50 – 56 oder
einem der Prozesssteuerungen 24 oder 26 generiert
wurde, und diese Information in irgendeinem passenden Format auf
einer Benutzeroberfläche
anzeigen. Die Diagnoseanwendung 82 kann jedoch konsistente Regeln
auf jeden der Alarme anlegen, die von der Prozesssteuerungs- oder
Sicherheitssystemhardware eingehen, um eine Alarmpriorität zu bestimmen,
eine Quittierung von Alarmen zu steuern und Leistungsmerkmale sowohl
von Prozesssteuerungs- als auch Sicherheitssystemalarmen freizugeben/zu sperren.More precisely, the diagnostic application needs 82 of 1 because it works in the same way as above for the configuration application 80 discussed, both process control and security system alarms can detect not transmitting one type of alarm to a display built for the other type of alarm. Instead, the application 82 simply use the alarm detection and timestamp mechanisms that are used during the creation of the alarm message from one of the logic solvers 50 - 56 or one of the process controls 24 or 26 generated and display this information in any convenient format on a user interface. The diagnostic application 82 however, can apply consistent rules to each of the alarms received by the process control or safety system hardware to determine alarm priority, control alarm acknowledgment, and enable / disable features of both process control and safety system alarms.
Wie
klar wird, erfasst, versieht mit einem Zeitstempel und schickt die
Alarmerfassungssoftware oder -logik in den Prozessrechnern 24 und 26,
um die Integration von Alarmen zu ermöglichen, Alarme an die Diagnoseanwendung 82,
wie es in einem Prozesssteuerungssystem üblich ist. Zusätzlich erfasst, versieht
mit einem Zeitstempel und schickt eine Alarmerfassungssoftware oder
-logik in den Sicherheitslogiklösern 50 – 56 Alarmmeldungen
an die Diagnoseanwendung 82. Das Format der (von den Rechnern 24 und 26 verschickten)
Prozesssteuerungsalarmmeldungen und der (von den Logiklösern 50 – 56 verschickten)
Sicherheitssystemalarmmeldungen wird insofern ähnlich sein, als beide dasselbe
oder ein gemeinsames Format, ein Zeitstempelfeld, ein Alarmbezeichnungs-
oder Typenfeld, etc. haben. Zusätzlich
weisen die Meldungen eine gewisse Anzeige wie ein Feld, eine Adresse,
ein Identifizierungskennzeichen, etc. auf, das die Meldung oder
den Alarm als von entweder einem Prozesssteuerungssystem- oder Sicherheitssystemgerät stammend
be- bzw. kennzeichnet. Die Diagnoseanwendung 82 kann dann
die Anzeige verwenden, um auf einer Alarmanzeige anzuzeigen, dass
ein bestimmter Alarm ein Sicherheitssystem- oder ein Prozesssteuerungssystemalarm
ist. Zusätzlich
kann die Diagnoseanwendung 82 unterschiedliche Leistungsmerkmale
zum Quittieren, Anzeigen und Freigeben/Sperren für jeden Alarm basierend darauf
bereitstellen, ob der Alarm ein Sicherheitssystem- oder Prozesssteuerungssystemalarm
ist. Beispielsweise kann die Diagnoseanwendung 82 einen
Alarm in einer anderen Farbe, in einem anderen Bereich der Anzeige,
mit einem anderen Namen, etc. basierend darauf darstellen, ob der Alarm
ein Sicherheitssystem- oder Prozesssteuerungssystemalarm ist. Auf ähnliche
Weise kann die Diagnoseanwendung 82 ein Filtern oder Sortieren der
Alarme durch irgendwelche Kategorien wie Priorität, Bezeichnung, Art ermöglichen
und/oder ob der Alarm ein Sicherheitssystem- oder Prozesssteuerungssystemalarm
ist. Die Diagnoseanwendung 82 kann jedoch Sicherheitssystem-
und Prozesssteuerungssystemalarme (zum Setzen von Priorität) unter Verwendung
eines gemeinsamen Regelsatzes kategorisieren, um eine konsistente
Kategorisierung von Alarmen sowohl im Prozesssteuerungs- als auch
Sicherheitssystem bereitzustellen. Zusätzlich spiegelt der Zeitstempel
der Alarme wieder, wann sie zuerst entweder im Prozesssteuerungssystem 12 oder
im Sicherheitssystem 14 erfasst wurden, was zu einer besseren
und genaueren Information darüber
führt, wann
die Alarme in den Prozesssteuerungs- und Sicherheitssystemen generiert
wurden.As is clear, it records, provides a time stamp and sends the alarm recording software or logic to the process computers 24 and 26 to enable the integration of alarms, alarms to the diagnostic application 82 , as is common in a process control system. Additionally recorded, time stamped and sends alarm detection software or logic in the safety logic solvers 50 - 56 Alarm messages to the diagnostic application 82 , The format of the (from the computers 24 and 26 sent) process control alarm messages and (from the logic solvers 50 - 56 sent) security system alarm messages will be similar in that both have the same or a common format, a timestamp field, an alarm label or type field, etc. The messages also have a certain display such as a field, an address, an identifier, etc., that identifies the message or alarm as coming from either a process control system or security system device. The diagnostic application 82 can then use the display to indicate on an alarm display that a particular alarm is a security system or process control system alarm. In addition, the diagnostic application 82 Provide different features to acknowledge, display and enable / disable for each alarm based on whether the alarm is a safety system or process control system alarm. For example, the diagnostic application 82 present an alarm in a different color, in a different area of the display, with a different name, etc. based on whether the alarm is a security system or process control system alarm. Similarly, the diagnostic application 82 enable filtering or sorting of the alarms by any categories such as priority, label, type and / or whether the alarm is a safety system or process control system alarm. The diagnostic application 82 however, can categorize safety system and process control system alarms (to set priority) using a common rule set to provide consistent categorization of alarms in both the process control and safety system. In addition, the time stamp of the alarms reflects when they first appear in the process control system 12 or in the security system 14 were recorded, which leads to better and more accurate information about when the alarms were generated in the process control and safety systems.
4 stellt ein Beispiel einer
Diagnoseanwendung 82 dar, die in einem Arbeitsplatzrechner 16 abläuft, um
eine integrierte Prozesssteuerungs- und Sicherheitssystemalarmanzeige
bereitzustellen. Allgemein gesprochen zeigt die Diagnoseanwendung 82 Information über das
Prozesssteuerungssystem 12 und das Sicherheitssystem 14 an,
die für
das Verständnis
oder die Fähigkeit
des Bedieners sachdienlich ist, den gegenwärtigen Betriebsstatus des Prozesses
im Hinblick auf im Prozess vorhandene Alarme zu überblicken. Ein Beispiel einer
Anzeige, die von der Anwendung 82 erstellt werden kann,
ist in 5 als ein Alarmbanner 273 umfassend
dargestellt, das Alarmanzeigen und eine erste Anzeige 271 aufweist,
die einen Abschnitt der Prozessanlage einschließlich der mit diesem Abschnitt
der Prozessanlage zusammenhängenden
Prozesssteuerungs- und Sicherheitssystemgeräte und anderer Ausrüstung darstellt,
die für
einen oder mehrere der Alarme im Alarmbanner maßgeblich sind. Die erste Anzeige 271 kann
Information über
den aktuellen Zustand der Prozessanlage liefern, wie den Füllstand
in den Behältern,
Fließeigenschaften
von Ventilen und anderen Fluidleitungen, Geräteeinstellungen, Messwerte von
Sensoren, etc. Zusätzlich
kann diese Anzeige den aktuellen Zustand von Sicherheitsgeräten wie Abschaltventilen,
Schaltern, etc. angeben. Somit kann, wie klar wird, ein Bediener
die Diagnoseanwendung 82 dazu verwenden, sich unterschiedliche Teile
von oder Ausrüstung
in der Prozessanlage 10 anzeigen zu lassen, und dabei kommuniziert
die Diagnoseanwendung 82 mit den Steuerungen 24 und 26 und
den Sicherheitslogiklösern 50 – 56 und
nötigenfalls
den Feldgeräten 40, 42, 60 und 62 und
irgendwelchen anderen Geräten
in der Anlage, um relevante Werte, Einstellungen und Messungen zu
erhalten, die mit der Prozessanlage zusammenhängen oder darin vorgenommen
werden. 4 provides an example of a diagnostic application 82 represent that in a workstation 16 expires to provide an integrated process control and safety system alarm indicator. Generally speaking, the diagnostic application shows 82 Information about the process control system 12 and the security system 14 relevant to the understanding or ability of the operator to keep track of the current operational status of the process with respect to alarms present in the process. An example of an ad used by the application 82 can be created is in 5 as an alarm banner 273 comprehensively presented the alarm indicators and a first indicator 271 which represents a portion of the process plant, including the process control and safety system equipment and other equipment related to that section of the process plant, that are relevant to one or more of the alarms in the alarm banner. The first ad 271 can provide information about the current status of the process plant, such as the fill level in the tanks, flow properties of valves and other fluid lines, device settings, measured values from sensors, etc. In addition, this display can indicate the current status of safety devices such as shut-off valves, switches, etc. Thus, as is clear, an operator can use the diagnostic application 82 Use different parts of or equipment in the process plant 10 display, and the diagnostic application communicates 82 with the controls 24 and 26 and the security logic solvers 50 - 56 and if necessary the field devices 40 . 42 . 60 and 62 and any other equipment in the plant to obtain relevant values, settings and measurements related to or made in the process plant.
Die
Diagnoseanwendung 82 kann so konfiguriert sein, dass sie
Alarme empfängt,
die von einer Alarmgenerierungssoftware in einigen oder allen der Rechner 24 oder 26,
E/A-Geräte 28 – 36,
Sicherheitslogiklöser 50 – 56 und
Feldgeräte 40, 42, 60 und 62 generiert
werden. Noch weiter darüber
hinaus kann die Diagnoseanwendung 82 unterschiedliche Alarmkategorien
empfangen, einschließlich
beispielsweise Prozessalarme (die typischerweise von Prozesssteuerungssoftware-
oder Sicherheitssystemmodulen wie denjenigen generiert werden, die
aus wechselseitig kommunikativ verbundenen Funktionsblöcken bestehen
und Prozesssteuerungs- und Sicherheitsroutinen bilden, die während des
Prozessablaufs eingesetzt werden), Hardwarealarme, wie Alarme, die
von den Steuerungen 24, 26, E/A-Geräten 30 – 36,
Sicherheitslogiklösern 50 – 56,
anderen Arbeitsplatzrechnern 16, etc. generiert werden,
die den Zustand oder Funktionszustand dieser Geräte betreffen, und Gerätealarme,
welche von einigen oder allen der Feldgeräte 40, 42, 60 und 62 generiert
werden, um mit diesen Geräten
verbundene Probleme anzuzeigen. Diese oder andere Alarmkategorien
können
auf jede beliebige Weise erstellt werden. Natürlich kann die Diagnoseanwendung 82 die
Alarmart darstellen (z.B. Prozessalarm, Hardwarealarm und Gerätealarm)
zusätzlich
dazu, wo der Alarm seinen Ursprung nahm, d.h., im Prozesssteuerungssystem 12 oder
im Sicherheitssystem 14.The diagnostic application 82 can be configured to receive alarms from alarm generation software in some or all of the computers 24 or 26 , I / O devices 28 - 36 , Security logic solver 50 - 56 and field devices 40 . 42 . 60 and 62 to be generated. The diagnostic application can go even further 82 Receive different types of alarms, including, for example, process alarms (typically generated by process control software or security system modules such as those that consist of function blocks that are communicatively connected and form process control and safety routines that are used during the process flow), hardware alarms, such as alarms that are generated by the controls 24 . 26 , I / O devices 30 - 36 , Security logic solvers 50 - 56 , other workstations 16 , etc., which relate to the state or functional state of these devices, and device alarms which are generated by some or all of the field devices 40 . 42 . 60 and 62 generated to indicate problems associated with these devices. These or other alarm categories can be created in any way. Of course, the diagnostic application 82 represent the type of alarm (e.g. process alarm, hardware alarm and device alarm) in addition to where the alarm originated, ie in the process control system 12 or in the security system 14 ,
Falls
gewünscht,
kann die Diagnoseanwendung 82 Alarme basierend auf einer
Anzahl von Faktoren empfangen und filtern. Insbesondere kann die Diagnoseanwendung 82 Alarme
basierend auf dem Arbeitsplatzrechner filtern, auf dem die Anwendung 82 abläuft, basierend
auf dem Bediener oder der Person, der/die in den Arbeitsplatzrechner
eingeloggt ist, und basierend auf bedienerkonfigurierbaren Einstellungen
wie Kategorie, Art (Prozess, Hardware, Gerät, etc.), Priorität, Status,
Entstehungszeit, Herkunft (Prozesssteuerung oder Sicherheitssystem),
etc. des Alarms. Beispielsweise kann die Anwendung 82 die Alarme
filtern, um nur Alarme aus den Bereichen oder Abschnitten der Anlage
zu filtern, für
die der Arbeitsplatzrechner, auf dem die Anwendung 82 abläuft, zum
Empfang konfiguriert ist. Das heißt, Alarme für bestimmte
Bereiche oder Abschnitte der Anlage können an bestimmten Arbeitsplatzrechnern
nicht angezeigt werden, sondern jeder Arbeitsplatzrechner kann statt
dessen darauf beschränkt
sein, Alarme für einen
oder mehrere spezielle Bereiche der Anlage anzuzeigen. Gleichermaßen können Alarme
durch Bedienerkennung gefiltert werden. Insbesondere können Bediener
darauf beschränkt
sein, Alarme einer bestimmten Kategorie, eines bestimmten Typs, einer
bestimmten Priorität,
etc. zu sichten, oder können
darauf beschränkt
sein, Alarme aus einem Abschnitt oder Teilabschnitt (z.B. und Bereich)
der Anlage zu sichten. Die Diagnoseanwendung 82 filtert auch
Alarme zur Anzeige basierend auf der Bedienerfreigabe heraus. Diese
Filtereinstellungen über Arbeitsplatzrechner
und Bediener werden hier als Steuerungen im Rahmen des Arbeitsplatzrechners und
Bedieners bezeichnet und können
Sicherungsleistungsmerkmale umfassen, die es bestimmten Bedienern
ermöglichen,
Prozesssteuerungs- und/oder Sicherheitssystemalarme
zu sichten und zu bearbeiten.If desired, the diagnostic application 82 Receive and filter alarms based on a number of factors. In particular, the diagnostic application 82 Filter alarms based on the workstation on which the application is located 82 expires, based on the operator or the person who is logged into the workstation and based on user-configurable settings such as category, type (process, hardware, device, etc.), priority, status, time of origin, origin (process control or security system ), etc. of the alarm. For example, the application 82 Filter the alarms to filter only alarms from the areas or sections of the system for which the ar workstation on which the application 82 expires, is configured to receive. This means that alarms for certain areas or sections of the system cannot be displayed on certain workstations, but instead each workstation computer can be limited to displaying alarms for one or more special areas of the plant. Similarly, alarms can be filtered by operator recognition. In particular, operators may be limited to viewing alarms of a certain category, type, priority, etc., or may be limited to viewing alarms from a section or subsection (e.g., and area) of the facility. The diagnostic application 82 also filters out alarms for display based on operator approval. These filter settings via the workstation and operator are referred to here as controls within the framework of the workstation and operator and can include security features that enable certain operators to view and process process control and / or safety system alarms.
Die
Diagnoseanwendung 82 kann auch die darstellbaren Alarme
(d.h. diejenigen, die in die Steuerungen im Rahmen des Arbeits platzrechners
und Bedieners fallen) basierend auf bedienerkonfigurierbaren Einstellungen
filtern, die beispielsweise die Alarmkategorie (z.B. Prozess-, Geräte- oder
Hardwarealarm), Alarmtypen (Kommunikation, Ausfall, Beratung, Wartung,
etc.), die Priorität
des Alarms, den Modul, das Gerät,
die Hardware, den Knoten oder Bereich, die der Alarm betrifft, umfassen,
ob der Alarm quittiert oder unterdrückt wurde, ob der Alarm aktiv
ist, ob der Alarm ein Sicherheitssystem- oder Prozesssteuerungssystemalarm
ist, etc.The diagnostic application 82 can also filter the representable alarms (i.e. those that fall into the controls in the context of the workstation computer and operator) based on user-configurable settings, for example the alarm category (e.g. process, device or hardware alarm), alarm types (communication, failure, advice) , Maintenance, etc.), the priority of the alarm, the module, the device, the hardware, the node or area that affects the alarm, whether the alarm has been acknowledged or suppressed, whether the alarm is active, whether the alarm is a security system or process control system alarm, etc.
Mit
erneutem Bezug auf 4 ist
die Diagnoseanwendung 82 so dargestellt, dass sie in einem der
Arbeitsplatzrechner 16 von 1 ausgeführt wird,
welcher auch Kommunikationssoftware wie eine Kommunikationsschicht
oder einen Kommunikationsstapel 262 speichert und ausführt, die/der
mit den Steuerungen 24 und 26 über die Ethernetverbindung 22 kommuniziert,
um Signale zu empfangen, die von den Steuerungen 24 und 26,
den Sicherheitslogikmodulen 50 – 56, den E/A-Geräten 28 – 36,
den Feldgeräten 40, 42, 60 und 62 und/oder
weiteren Arbeitsplatzrechnern 16 verschickt werden. Die
Kommunikationsschicht 262 formatiert auch Nachrichten ordnungsgemäß, die an
die Steuerungen, E/A-Geräte,
Feldgeräte,
Sicherheitslogiklöser
und andere Arbeitsplatzrechner als Alarmquittierungssignale verschickt
werden sollen. Die Kommunikationssoftware kann irgendeine bekannte
oder beliebige Kommunikationssoftware sein, die gegenwärtig beispielsweise mit
Ethernetverbindungen verwendet wird. Natürlich kann der Kommunikationsstapel 262 an
andere Software gekoppelt werden, welche andere Funktionen wie Konfigurationsanwendungen,
Diagnose- oder andere Prozessanwendungen, Datenbankverwaltungsanwendungen,
etc., durchführt,
die innerhalb des Arbeitsplatzrechners 16 ablaufen.With renewed reference to 4 is the diagnostic application 82 represented so that it is in one of the workstations 16 of 1 is executed, which also communication software such as a communication layer or a communication stack 262 saves and executes with the controls 24 and 26 over the ethernet connection 22 communicates to receive signals from the controls 24 and 26 , the safety logic modules 50 - 56 , the I / O devices 28 - 36 , the field devices 40 . 42 . 60 and 62 and / or other workstations 16 be sent. The communication layer 262 Also properly formats messages to be sent to controllers, I / O devices, field devices, safety logic solvers and other workstations as alarm acknowledgment signals. The communication software can be any known or any communication software currently used with, for example, Ethernet connections. Of course, the communication stack 262 be coupled to other software that performs other functions such as configuration applications, diagnostic or other process applications, database management applications, etc., within the workstation 16 expire.
Die
Diagnoseanwendung 82 von 4 umfasst
eine Alarmverarbeitungseinheit 264, welche Alarme von der
Kommunikationsschicht 262 empfängt, decodiert diese Alarme
und kann die decodierten Alarme in einer Datenbank 266 speichern.
Die Diagnoseanwendung 82 umfasst auch ein Filter 268, welches
die Alarmverarbeitungseinheit 264 verwendet, um zu bestimmen,
welche Alarme auf einer mit dem Arbeitsplatzrechner 16 zusammenhängenden Benutzeroberfläche (wie
einem CRT-, LCD-, LED-, Plasmadisplay, einem Drucker, etc.) angezeigt
werden sollen. Das Filter 268 kann Einstellungen haben, die
in der Datenbank 266 gespeichert sind, und diese Filtereinstellungen
können
vorkonfiguriert sein und/oder sind durch einen Benutzer basierend
auf dessen Präferenzen
veränderbar.The diagnostic application 82 of 4 includes an alarm processing unit 264 what alarms from the communication layer 262 receives, decodes these alarms and can store the decoded alarms in a database 266 to save. The diagnostic application 82 also includes a filter 268 which is the alarm processing unit 264 used to determine what alarms are on one with the workstation 16 related user interface (such as a CRT, LCD, LED, plasma display, a printer, etc.) should be displayed. The filter 268 may have settings in the database 266 are stored, and these filter settings can be preconfigured and / or can be changed by a user based on their preferences.
Allgemein
können
die Filtereinstellungen die Alarmkategorie und -priorität steuern
und, falls gewünscht,
die Reihenfolge der anzuzeigenden Alarme festlegen, indem eine Anzahl
unterschiedlicher Kriterien angesetzt wird. Zuerst bewirken die
Steuerungen im Umfeld des Arbeitsplatzrechners und Bedieners, was
ein besonderer Bediener sehen kann (welche Alarme an einem bestimmten
Arbeitsplatzrechner angezeigt werden können) basierend auf der Bedienerkennung
und dem Arbeitsplatzrechner, in den der Bediener eingeloggt ist,
ob die Alarme Prozesssteuerungs- oder Sicherheitssystemalarme sind,
etc. In diesem Fall kann jedem Arbeitsplatzrechner eine Operationszulassung
zugeteilt sein und ohne eine Operationszulassung werden die Alarmanzeigen- und
alle Alarmlisten-/Zusammenfassungsanzeigen leer sein, d.h. keine
aktiven oder unterdrückten
Alarme irgendeiner Kategorie (Prozess, Hardware oder Gerät) oder
irgendeiner Herkunft (Prozesssteuerungs- oder Sicherheitssystem)
wird von der Alarmverarbeitungseinheit 264 angezeigt. Noch
weiter darüber
hinaus können
nur Alarme aus einem Anlagenbereich im Umfeld des gegenwärtigen Bedieners
gewählt
werden (für
gewöhnlich
bekommt der Bediener mindestens einen Sicherheitsschlüssel in
dem Anlagenbereich), die in den Alarmanzeigen auf diesem Arbeitsplatzrechner
erscheinen sollen. Auch können nur
Alarme aus einem Anlagenbereich oder einer Anlageneinheit gewählt werden,
der/die nicht „abgeschaltet" wurde, indem der
Anlagenbereichs- oder die Anlageneinheitfilteranzeige(n) wählbar sind,
die in der Alarmanzeige erscheinen sollen. Auf diese Weise verhindert
das Filter 268 zuerst die Anzeige von Alarmen außerhalb
des Arbeitsplatzrechner- und Bedienerumfelds, und von Alarmen aus
Anlagenbereichen oder -einheiten, die vom Bediener abgeschaltet
wurden.In general, the filter settings can control the alarm category and priority and, if desired, the order of the alarms to be displayed by applying a number of different criteria. First, the controls around the workstation and operator do what a particular operator can see (which alarms can be displayed on a particular workstation) based on the operator identification and the workstation in which the operator is logged in, whether the alarms are process control or safety system alarms In this case, each workstation computer can be assigned an operation approval and without an operation approval, the alarm displays and all alarm list / summary displays will be empty, i.e. no active or suppressed alarms of any category (process, hardware or device) or of any origin ( Process control or security system) is provided by the alarm processing unit 264 displayed. Even further, only alarms from a plant area in the environment of the current operator can be selected (usually the operator receives at least one security key in the plant area) that should appear in the alarm displays on this workstation. It is also possible to select only alarms from a plant area or a plant unit that have not been "switched off" by being able to select the plant area or plant unit filter display (s) that are to appear in the alarm display. This prevents the filter 268 first the display of alarms outside of the workstation and operator environment, and of alarms from plant areas or units that have been switched off by the operator.
Nach
dem Überprüfen der
Alarme auf Übereinstimmung
mit den Steuerungen im Umfeld des Arbeitsplatzrechners und Bedieners
filtert und bestimmt das Filter 268 dann die Anzeigereihenfolge
von Alarmen basierend auf Bedienereinstellungen heraus, welche beispielsweise
die Alarmkategorie, die Priorität
des Alarms, die Alarmart, den Quittierungsstatus des Alarms, den
Unterdrückungsstatus
des Alarms, die Herkunft des Alarms (d.h. aus dem Prozesssteuerungs-
oder Sicherheitssystem), etc. umfassen können. Die eingegangenen Alarme,
welche unter Verwendung von Alarmmeldungen an die Anwendung 82 geschickt
werden, umfassen Parameter für
jeden dieser Werte, und das Filter filtert Alarme zum Anzeigen,
indem die geeigneten Parameter der Alarme mit den Filtereinstellungen
verglichen werden. Die Alarmverarbeitungseinheit 264 kann
die Herkunft des Alarms basierend auf der Adresse, von der der Alarm stammt,
einem Feld in der Alarmmeldung, etc. erfassen. Während der Bediener die Anzeigereihenfolge der
Alarme, welche vom Filter 268 durchgelassen werden, festlegen
kann, kann die Reihenfolge aber auch durch vorkonfigurierte Einstellungen
bestimmt werden, was zu einer konsistenteren Anzeige der unterschiedlichen
Alarme führt.After checking the alarms for compliance with the controls in the area of the workstation and operator, the filter filters and determines 268 then the display order of alarms based on operator settings, which include, for example, the alarm category, the priority of the alarm, the alarm type, the acknowledgment status of the alarm, the suppression status of the alarm, the origin of the alarm (i.e. from the process control or safety system), etc. can. The alarms received, which are generated using alarm messages to the application 82 parameters for each of these values are sent, and the filter filters alarms for display by comparing the appropriate parameters of the alarms with the filter settings. The alarm processing unit 264 can detect the origin of the alarm based on the address from which the alarm originated, a field in the alarm message, etc. While the operator is displaying the order of alarms from the filter 268 can be let through, the sequence can also be determined by preconfigured settings, which leads to a more consistent display of the different alarms.
Auf
jeden Fall kann der Bediener die Art und Weise kundenspezifisch
anpassen, mit der Alarme basierend auf der Herkunft und/oder den
Alarmkategorien, an denen der Bediener oder Benutzer am meisten
interessiert ist, angezeigt werden, welche alle aus einer Alarmkategorie
wie Prozess-, Geräte- oder
Hardwarealarmen oder alle aus einer Herkunft eines Alarms wie ein
Prozesssteuerungs- oder ein Sicherheitssystemalarm oder eine Kombination
von zwei oder mehreren Kategorien und Herkunftsquellen von Alarmen
sein könnten.
Der Benutzer kann auch eine Kontrolle darüber haben, wie die Alarme präsentiert
werden und welche Information mit den Alarmen bereitgestellt wird.
Auf diese Weise kann die Diagnoseanwendung 82 dazu eingesetzt
werden, es einer Einzelperson zu ermöglichen, die Arbeiten eines
Sicherheits- und eines Prozesssteuerungsoperators durchzuführen. Alternativ
kann im selben System zu unterschiedlichen Zeiten ein Prozesssteuerungsoperator
dasselbe System verwenden, um nur die Prozesssteuerungsalarme zu
sichten, während ein
Sicherheitsoperator die Sicherheitsalarme sichten kann. Auf diese
Weise kann ein und dieselbe Diagnoseanwendung (an unterschiedlichen
Arbeitsplätzen)
von unterschiedlichen Arten von Leuten gleichzeitig verwendet werden,
um unterschiedliche Aspekte der Alarme zu sichten, die mit den Arbeitsablauffunktionen
des Prozesssteuerungssystems 12 und des Sicherheitssystems 14 zusammenhängen.In any case, the operator can customize the way alarms are displayed based on the source and / or the alarm categories that the operator or user is most interested in, all from an alarm category such as process, equipment - or hardware alarms, or all from an alarm source, such as a process control or safety system alarm, or a combination of two or more categories and source of alarms. The user can also have control over how the alarms are presented and what information is provided with the alarms. This way the diagnostic application 82 are used to enable an individual to perform the work of a security and process control operator. Alternatively, in the same system, a process control operator can use the same system at different times to view only the process control alarms while a safety operator can view the safety alarms. In this way, the same diagnostic application (at different workplaces) can be used by different types of people at the same time to view different aspects of the alarms associated with the workflow functions of the process control system 12 and the security system 14 related.
Nachdem
die Alarmverarbeitungseinheit 264 das Filter 268 einsetzt,
um zu entscheiden, welcher) Alarme) dem Benutzer über die
Anzeige 269 angezeigt und in welcher Reihenfolge die Alarme
angezeigt werden sollen, stellt die Alarmverarbeitungseinheit 264 diese
Information einer Benutzeranzeigenoberfläche 270 zur Verfügung, welche
irgendein standardmäßiges oder
gewünschtes
Betriebssystem verwendet, um Alarminformation auf irgendeine beliebige
Weise auf der Alarmanzeige 269 anzuzeigen. Natürlich erhält die Benutzeranzeigenoberfläche 270 auch
weitere Information, die sie benötigt,
wie Information über
die Auslegung oder die Konfiguration des Prozesssteuerungssystems 12 oder
des Sicherheitssystems 14, die Parameter- oder Signalwerte
innerhalb dieser Systeme etc., aus der Datenbank 266 oder
aus anderen Kommunikationssignalen, die über die Kommunikationsschicht 262 von
der Prozessanlage her eingehen. Auch empfängt die Benutzeranzeigenoberfläche 270 Befehle
vom Benutzer, der beispielsweise mehr Information über bestimmte
Alarme, Änderungen
an Alarm- oder Filtereinstellungen, neue Alarmanzeigen, etc., abruft,
und liefert diese Information an die Verarbeitungseinheit 264,
die dann die angeforderte Maßnahme
ergreift, die Datenbank 266 auf die Alarminformation, etc.,
hin durchsucht, um dem Benutzer über
die Anzeige 269 einen neue Alarmansicht bereitzustellen.After the alarm processing unit 264 the filter 268 uses to decide which (alarms) the user has about the display 269 is displayed and the order in which the alarms are to be displayed is set by the alarm processing unit 264 this information of a user ad interface 270 available that uses any standard or desired operating system to display alarm information in any manner on the alarm display 269 display. Of course, the user ad interface gets 270 also other information that it needs, such as information about the design or configuration of the process control system 12 or the security system 14 , the parameter or signal values within these systems etc., from the database 266 or from other communication signals that go through the communication layer 262 from the process plant. The user ad interface also receives 270 Commands from the user who, for example, requests more information about specific alarms, changes to alarm or filter settings, new alarm displays, etc., and delivers this information to the processing unit 264 The database then takes the requested action 266 on the alarm information, etc., to the user through the display 269 to provide a new alarm view.
Wie
vorstehend angemerkt, werden die unterschiedlichen Alarmkategorien
und -herkunftsquellen, die Prozesssteuerungs- und Sicherheitsalarme umfassen,
zur potentiellen Anzeige auf der Anzeigevorrichtung 269 in
irgendeinem passenden Nachrichtenformat an die Diagnoseanwendung 82 geschickt und
von dieser empfangen. Im Ergebnis können unterschiedliche Alarmkategorien
und -typen auf derselben Oberfläche
integriert werden, um einem Bediener mehr Information bezüglich eines
fehlerhaften Betriebs des Prozesssteuerungs- und Sicherheitssystems
zu liefern. Mit den hierin beschriebenen integrierten Anzeigen kann
ein Bediener aktuelle Prozesssteuerungs- und Sicherheitssystemalarme
auf ein und derselben Bildschirm- oder Anzeigevorrichtung sichten
und kann jeden dieser Alarme auf dieselbe Weise behandeln.As noted above, the different alarm categories and sources, including process control and security alarms, become potential indications on the display device 269 in any suitable message format to the diagnostic application 82 sent and received by this. As a result, different alarm categories and types can be integrated on the same interface to provide an operator with more information regarding malfunction of the process control and safety system. With the integrated displays described herein, an operator can view current process control and safety system alarms on the same screen or display device and can handle each of these alarms in the same way.
Es
gibt natürlich
viele Wege, wie die unterschiedlichen Prozesssteuerungs- und Sicherheitsalarme
auf integrierte Weise auf einer Benutzeroberfläche angezeigt werden können. In
einer Ausführungsform
können
die Prozesssteuerungs- und Sicherheitsalarme auf eine ähnliche
Weise behandelt werden wie Prozessalarme herkömmlicher Weise auf einer Anzeige
behandelt wurden. Im Ergebnis kann ein Bediener Sicherheitsalarme
genauso quittieren oder unterdrücken,
wie der Bediener Prozesssteuerungsalarme quittiert oder unterdrückt. Gleichermaßen können Prozesssteuerungs-
und Sicherheitsalarme auch so angezeigt werden, dass Art, Priorität, Name,
Abschnitt des Prozesses, Zustand, etc. des Alarms angezeigt wird.
Auch kann dem Bediener eine erste, mit dem Alarm zusammenhängende Anzeige
geboten werden, die dazu ausgelegt ist, den Benutzer dabei zu unterstützen, die
Herkunft des Alarms oder die Funktionalität des mit dem Alarm zusammenhängenden
Hard- oder Softwareelements nachzuvollziehen oder zu sehen, wie
etwa das Modul, die Prozessschleife, das Gerät, den Knoten, den Bereich,
etc., wofür
der Alarm generiert wurde oder womit der Alarm zusammenhängt. Eine
erste Anzeige kann beispielsweise ein physikalisches Bild eines Gerätes sein,
ein digitales Bild oder eine digitale Zeichnung des Raums oder Bereichs,
in dem sich ein Gerät
befindet, oder eine andere mit dem Gerät zusammenhängende Information wie etwa
ein Teil einer Anlagenzeichnung, eine Schema- oder Konzeptzeichnung,
die die Verbindungen zwischen dem Gerät in der Anlage während der
Implementierung, etc. zeigt. Erste Anzeigen für Alarme können von Benutzern erstellt
werden und können
beispielsweise auf Module (für
Prozessalarme), Geräte
(für Gerätealarme)
und auf Knoten (für
Hardwarealarme) oder auf Bereiche oder Abschnitte der Anlage ausgerichtet sein,
die mit dem Alarm zusammenhängen.
Die ersten Anzeigen können
auch auf verschiedene Funktionen gelenkt sein. Beispielsweise können Prozessalarmanzeigen
auf Prozessbetriebsfunktionen ausgerichtet sein, erste Gerätealarmsteue rungsanzeigen können auf
Feldgerätewartungsfunktionen
ausgerichtet sein, und erste Hardwaresteuerungsanzeigen können auf
Knotenwartungsfunktionen ausgerichtet sein. Erste Anzeigen für Hardwarealarme
können beispielsweise
Bilder der Stelle sein, wo sich die Steuerung befindet, schematische
Darstellungen der E/A-Hardware der Steuerung, wobei alle Hardwarealarmzustände angegeben
sind, Tasten, um zur Übersicht über die
Einheit zu navigieren oder erste Anzeigen, die eine Steuerung unterstützt, Wartungsvorgangsprüflisten,
etc. Gleichermaßen
können
erste Anzeigen für
Gerätealarme
von Benutzern erstellt werden und können beispielsweise auf Gerätewartungsfunktionen
ausgerichtet sein. Die ersten Anzeigen können in der Datenbank 266 (4) gespeichert werden, und
auf der Anzeige 269 kann auf sie zugegriffen und können sie
dargestellt werden, wenn ein Alarm ausgewählt wird, der die erste Anzeige
verwendet. Natürlich
kann dieselbe erste Anzeige oder können unterschiedliche erste
Anzeigen für
unterschiedliche Alarme verwendet werden.There are of course many ways in which the various process control and safety alarms can be displayed in an integrated manner on a user interface. In one embodiment, process control and security alarms can be handled in a manner similar to how process alarms were conventionally handled on a display. As a result, an operator can acknowledge or suppress safety alarms just as the operator acknowledges or suppresses process control alarms. Similarly, process control and safety alarms can also be displayed to indicate the type, priority, name, section of the process, condition, etc. of the alarm. The operator can also be provided with a first display related to the alarm, which is designed to display the To assist users to understand or see the origin of the alarm or the functionality of the hardware or software element associated with the alarm, such as the module, the process loop, the device, the node, the area, etc. for which the alarm generates or what the alarm is related to. A first display can be, for example, a physical image of a device, a digital image or a digital drawing of the space or area in which a device is located, or other information related to the device, such as part of a system drawing, a schematic or Concept drawing that shows the connections between the device in the system during implementation, etc. Initial alerts for alarms can be created by users and can be targeted, for example, at modules (for process alarms), devices (for device alarms) and nodes (for hardware alarms), or areas or sections of the system that are related to the alarm. The first displays can also be directed to various functions. For example, process alarm indicators can target process operation functions, first device alarm control indicators can target field device maintenance functions, and first hardware control indicators can target node maintenance functions. First displays for hardware alarms can be, for example, images of the location of the controller, schematic representations of the I / O hardware of the controller, with all hardware alarm states being indicated, buttons for navigating to an overview of the unit or first displays, one Control supported, maintenance procedure checklists, etc. Likewise, first displays for device alarms can be created by users and can be oriented, for example, to device maintenance functions. The first ads can be in the database 266 ( 4 ) can be saved and on the display 269 they can be accessed and displayed when an alarm is selected that uses the first display. Of course, the same first display or different first displays can be used for different alarms.
In
einer Ausführungsform
wird die integrierte Alarminformation einem Benutzer auf einer Anzeige in
Form eines Alarmbanners an beispielsweise einem Rand einer Bildschirmmaske
angezeigt. Nun befindet sich mit Bezug auf 5 das Alarmbanner 273 unten
auf dem Bildschirm. Das Alarmbanner 273 umfasst eine erste
Zeile, die Anzeigen verschiedener Alarme anzeigt, die vom Prozesssteuerungssystem 12 und
dem Sicherheitssystem 14 erzeugt wurden, und die über das
Filter 268 zur Anzeige gelangt sind. Mindestens einer der
im Alarmbanner 273 angezeigten Alarme kann mit dem Abschnitt
bzw. Teil des Prozesssteuerungs- und
Sicherheitssystems zusammenhängen,
der in der ersten Anzeige 271 dargestellt ist. Die speziellen
im Alarmbanner 273 angezeigten Alarme und deren Reihenfolge
werden entsprechend der Filtereinstellungen des Filters 268 bestimmt.
Allgemein ausgedrückt
werden die Alarme mit der höchsten
Priorität,
welche nicht quittiert oder unterdrückt wurden, zuerst angezeigt,
wobei die Alarme mit der nächst
höchsten
Priorität
als nächstes
angezeigt werden, usw. Im Bildschirmmaskenbeispiel von 5 ist der Alarm 274 mit
der höchsten
Priorität ein
Prozesssteuerungsalarm, der als mit einer Steuerungsroutine mit
dem Namen PID101 zusammenhän gend
dargestellt ist. Der Alarm 274 ist rot dargestellt, um
zu veranschaulichen, dass seine Priorität kritisch ist. Auf der zweiten
Zeile des Alarmbanners 273 zeigt ein Alarminformationsfeld 276 eine
mit dem aktuell ausgewählten
Alarm im Alarmbanner 273 zusammenhängende Information an. Im Beispiel
von 5, bei dem der Prozesssteuerungsalarm 274 ausgewählt ist,
zeigt das Alarminformationsfeld 276, dass der Alarm 274 am
Freitag um 12:52:19 ausgewählt
wurde, mit der „Füllstandssteuerung
von Tank 16" („tank 16
level control")
zusammenhängt,
eine Bezeichnung oder einen Namen PID101/HI_HI_ALM hat, eine sehr
hohe Priorität
aufweist und ein kritischer Alarm ist. Blinkt der Alarm 274,
bedeutet dies, dass er nicht quittiert wurde, während eine konstante (nicht
blinkende) Alarmanzeige im Alarmbanner 273 bedeutet, dass
der Alarm von irgendeinem Bediener oder Benutzer quittiert wurde.
Natürlich
könnten
auch andere Arten von Alarminformation auf dem Alarminformationsfeld 276 angezeigt
werden.In one embodiment, the integrated alarm information is displayed to a user on a display in the form of an alarm banner, for example on an edge of a screen mask. Now with reference to 5 the alarm banner 273 at the bottom of the screen. The alarm banner 273 includes a first line that displays indicators of various alarms from the process control system 12 and the security system 14 were generated, and that over the filter 268 are displayed. At least one of those in the alarm banner 273 The alarms displayed may be related to the section or part of the process control and safety system that appears in the first display 271 is shown. The special ones in the alarm banner 273 The alarms displayed and their order are according to the filter settings of the filter 268 certainly. Generally speaking, the alarms with the highest priority that have not been acknowledged or suppressed are displayed first, with the alarms with the next highest priority being displayed next, etc. In the screen example of 5 is the alarm 274 The highest priority is a process control alarm that is shown as being related to a control routine called PID101. The alarm 274 is shown in red to show that its priority is critical. On the second line of the alarm banner 273 shows an alarm information field 276 one with the currently selected alarm in the alarm banner 273 related information. In the example of 5 where the process control alarm 274 is selected, the alarm information field shows 276 that the alarm 274 was selected on Friday at 12:52:19 PM, is related to "tank 16 level control", has a label or name PID101 / HI_HI_ALM, has a very high priority and is a critical alarm. The alarm flashes 274 , this means that it has not been acknowledged while a constant (non-flashing) alarm display in the alarm banner 273 means that the alarm has been acknowledged by any operator or user. Of course, other types of alarm information could be on the alarm information field 276 are displayed.
Natürlich könnten andere
Alarmanzeigen im Alarmbanner 273, wie etwa der Alarmhinweis 278, ein
Sicherheitssystemalarm sein, der mit den Sicherheitssystemgeräten in einem
relevanten Bereich oder Abschnitt der Prozessanlage zusammenhängt. Dieser
Sicherheitssystemalarm kann irgendeine Art von Alarm sein, einschließlich eines
Prozessalarms (der von den Sicherheitslogikmodulen generiert wird),
eines Hardwarealarms (der von einem Sicherheitslogiklöser generiert
wird) und eines Gerätealarms
(der von einem der Feldgeräte 60, 62 des
Sicherheitssystems generiert wird). Diese anderen Alarmanzeigen
könnten
andersfarbig sein, wie gelb, purpurrot, etc., um andere Grade von
Bedeutung oder Priorität
bei dem Alarm oder andere Herkunftsquellen des Alarms anzuzeigen.
Wird ein anderer Alarm ausgewählt,
wie etwa der Alarm 278, 280, 281 oder 282,
würde eine
diesen Alarm betreffende Alarminformation im Alarminformationsfeld 276 angezeigt.
Durch das Sichten eines Alarms im Alarmbanner 273 kann
ein Bediener den Alarm quittieren und das Wartungs- oder Technikpersonal
auffordern, die geeigneten Maßnahmen
zu ergreifen, um den Umstand, der zum Alarm führte, zu korrigieren, oder
andere geeignete Maßnahmen
im Prozesssteuerungs- oder Sicherheitssystem zu ergreifen, wie etwa
bestimmte Sollwerte neu einzustellen, um den Alarmzustand abzumildern.
Wenn sie nur zur Anzeige von Prozesssteuerungsalarmen verwendet
wird, ist die Anzeige von 5 ähnlich einer
bekannten Bedieneranzeige, die gegenwärtig im DeltaV-Steuerungssystem
vorgesehen ist. Dennoch wird klar, dass die Alarmanzeige von 5 die Anzeige und Steuerung sowohl
von Prozesssteuerungs- als auch Sicherheitssystemalarmen integriert.Of course, other alarm indicators could appear in the alarm banner 273 such as the alarm notice 278 , be a safety system alarm related to the safety system devices in a relevant area or section of the process plant. This security system alarm can be any type of alarm, including a process alarm (generated by the safety logic modules), a hardware alarm (generated by a safety logic solver), and a device alarm (that by one of the field devices 60 . 62 of the security system is generated). These other alarm indicators could be of a different color, such as yellow, purple, etc., to indicate other levels of importance or priority in the alarm or other sources of origin of the alarm. If another alarm is selected, such as the alarm 278 . 280 . 281 or 282 , alarm information relating to this alarm would appear in the alarm information field 276 displayed. By viewing an alarm in the alarm banner 273 For example, an operator may acknowledge the alarm and request maintenance or engineering personnel to take the appropriate measures to correct the condition that caused the alarm, or to take other appropriate measures in the process control or safety system, such as re-setting certain setpoints to close the alarm stood to mitigate. If it is only used to display process control alarms, the display is of 5 similar to a known operator display currently provided in the DeltaV control system. Nevertheless, it is clear that the alarm display from 5 integrated display and control of both process control and safety system alarms.
Wie
vorstehend angegeben, wird durch das Auswählen eines der Alarme im Alarmbanner 273 (wie
etwa des Alarms 274) eine erste Anzeige 271 für diesen
Alarm geboten. Insbesondere umfasst, wie in 5 gezeigt, der Hauptteil der Bildschirmmaske eine
erste Anzeige 271 oder Veranschaulichung der betreffenden
Hardware, die mit einem bestimmten Alarm (einem ausgewählten Alarm)
in der Prozessanlage zusammenhängt.
Im Beispiel von 5 umfasst
die Hardware drei Tanks, die über
verschiedene Ventile und Fluidströmungsleitungen zusammen mit verschiedenen
daran befestigten Sensoren miteinander verbunden sind. Die Hardwareveranschaulichung
ist eine Darstellung der Ausrüstung
in einem Teil der Prozessanlage und liefert eine bestimmte Information über den
Betrieb eines Teils der Ausrüstung
wie etwa bestimmte Werte oder Parameter, die mit dem Tank, den Sensoren,
etc. zusammenhängen.
Die dargestellte Ausrüstung
kann Prozesssteuerungs- und/oder Sicherheitssystemausrüstung sein. Natürlich kann
ein Teil dieser Information durch in der Datenbank 266 gespeicherte
Konfigurationsinformation oder Signale aus den Sensoren im Prozesssteuerungs-
und Sicherheitssystem bereitgestellt werden. Im letzteren Fall wird
eine solche Information nach oben durch die Kommunikationsschicht 262 geschickt
und der Benutzeranzeigenoberfläche 270 über irgendeine
bekannte oder gewünschte
Software zur Verfügung
gestellt.As indicated above, selecting one of the alarms in the alarm banner 273 (such as the alarm 274 ) a first ad 271 offered for this alarm. In particular, as in 5 shown, the main part of the screen mask a first display 271 or illustration of the hardware in question related to a particular alarm (a selected alarm) in the process plant. In the example of 5 The hardware includes three tanks that are connected together via different valves and fluid flow lines together with various sensors attached to them. The hardware illustration is a representation of the equipment in part of the process plant and provides certain information about the operation of some of the equipment, such as certain values or parameters related to the tank, sensors, etc. The equipment shown can be process control and / or safety system equipment. Of course, part of this information can be found in the database 266 stored configuration information or signals from the sensors in the process control and safety system are provided. In the latter case, such information is sent up through the communication layer 262 sent and the user ad interface 270 provided via any known or desired software.
Auch
ist, wie in 5 dargestellt,
eine Frontplatte 272, die ein „virtuelles Instrument" veranschaylicht,
für eine
PID-Steuereinheit (ein PID-Steuereinheitsmodul) als zusätzliche
Information für
einen der Alarme (in diesem Fall dem Prozesssteuerungsalarm 274)
im Alarmbanner dargestellt. Die Frontplatte 272 liefert
eine weitere, den ausgewählten
Prozesssteuerungsalarm betreffende Information und kennzeichnet
den Namen der Steuereinheit (des Moduls PID101) und bestimmte Einstellungen
oder Parameter, die mit diesem Modul zusammenhängen. Das Erstellen einer solchen
bildlichen Beschreibung des Prozesses wird heutzutage für Prozesssteuerungsalarme
eingesetzt und ist im Stande der Technik bekannt, und wird deshalb
nicht im Einzelnen beschrieben. Es genügt, zu erwähnen, dass diese oder irgendeine
andere beliebige bildliche oder nicht bildliche Beschreibung eines
Teils oder der ganzen Prozessanlage auf dem Bildschirm dargestellt
werden kann, damit ein Benutzer, wie etwa ein Bediener, die Betriebs-
oder Hardwarefunktion jedes Teils der Prozessanlage, einschließlich der
Prozesssteuerungs- und Sicherheitssystementitäten ansehen kann. Die Anzeigen
können
natürlich
einzelne Hardwareeinheiten, verwandte Hardwaregruppen, Blockschemata oder
andere Schemata von Teilen oder Bereichen von Anlagen etc. veranschaulichen
oder anderweitig darstellen.Also, as in 5 shown, a front panel 272 , which animates a "virtual instrument" for a PID control unit (a PID control unit module) as additional information for one of the alarms (in this case the process control alarm 274 ) shown in the alarm banner. The front panel 272 provides additional information related to the selected process control alarm and identifies the name of the control unit (the PID101 module) and certain settings or parameters related to this module. The creation of such a pictorial description of the process is used today for process control alarms and is known in the art and is therefore not described in detail. Suffice it to say that this or any other pictorial or non-pictorial description of part or all of the process equipment can be displayed on the screen in order for a user, such as an operator, to include the operational or hardware functionality of each part of the process equipment who can view process control and security system entities. The displays can of course illustrate or otherwise depict individual hardware units, related hardware groups, block diagrams or other diagrams of parts or areas of systems, etc.
Wieder
mit Bezug auf 4 kann
die Diagnoseanwendung 82 ein Steuerungsroutine 290 zum Zusammenfassen
aktiver Alarme und eine Steuerung 292 zum Zusammenfassen
unterdrückter
Alarme umfassen. Diese Routinen können dazu eingesetzt werden,
einem Benutzer Anzeigen bereitzustellen, die eine Zusammenfassung
der momentan im System aktiven oder unterdrückten Alarme darstellt. Natürlich können diese
Zusammenfassungen geordnet und auf der Anzeige 269 auf
jede Art und Weise dargestellt werden, wobei vorausgesetzt wird,
dass diese Zusammenfassungen Prozesssteuerungs- und Sicherheitssystemalarme
zusammen in einer Anzeige oder Liste oder, falls gewünscht, separat
zusammenfassen können.
Natürlich
kann die Diagnoseanwendung 82 auch eine Sicherungsroutine 294 umfassen,
das die geeigneten Sicherungsprozeduren bei der Entscheidung bewerkstelligt,
ob ein Benutzer irgendeinen speziellen Alarm sichten und bearbeiten darf.
Insbesondere kann die Sicherungsroutine 294 einen Satz
von Regeln implementieren, die dazu ausgelegt sind, zu steuern,
welche Benutzer Prozesssteuerungs- und/oder Sicherheitssystemalarme sichten
dürfen,
und welche Benutzer diese Alarme bearbeiten dürfen, indem sie sie quittieren,
unterdrücken, etc.
Auf diese Weise kann die Sicherungsanwendung 294 einen
bestimmten Benutzer in die Lage versetzen, bestimmte Prozesssteuerungs alarme,
aber keine Sicherheitssystemalarme zu quittieren oder zu unterdrücken, kann
es einem anderen Benutzer erlauben, bestimmte Sicherheitssystemalarme
aber keine Prozesssteuerungssystemalarme zu quittieren oder zu unterdrücken, und
kann es einem weiteren Benutzer erlauben, beide Alarmarten zu quittieren
oder zu unterdrücken.
Natürlich
können
bestimmte Regeln oder Rechte zum Sichten der Prozesssteuerungs- und
Sicherheitssystemalarme, zum Quittieren dieser Alarme, zum Unterdrücken dieser
Alarme, etc. festgelegt und durchgesetzt werden. Falls gewünscht, können verschiedenartige
Alarme so zusammen angezeigt werden, dass beispielsweise Sicherheitsgerätealarme
mit Prozesssteuerungsgerätealarmen
angezeigt werden können,
Sicherheitsprozessalarme mit Prozesssteuerungssystemprozessalarmen
angezeigt werden, und Sicherheitshardwarealarme mit Prozesssteuerungssystemhardwarealarmen
angezeigt werden können.
Natürlich
können
diese unterschiedlichen Alarme zusammen oder separat gesichtet werden,
basierend auf den Arten und Herkunftsquellen der Alarme oder irgendeiner
Kombination von diesen.Again with reference to 4 can the diagnostic application 82 a control routine 290 to summarize active alarms and a controller 292 to summarize suppressed alarms. These routines can be used to provide a user with displays that summarize the alarms currently active or suppressed in the system. Of course, these summaries can be ordered and on display 269 in any manner, provided that these summaries can summarize process control and safety system alarms together in a display or list or, if desired, separately. Of course, the diagnostic application 82 also a backup routine 294 that implement the appropriate backup procedures in deciding whether a user is allowed to view and process any particular alarm. In particular, the backup routine 294 implement a set of rules designed to control which users are allowed to view process control and / or security system alarms, and which users are allowed to handle these alarms by acknowledging, suppressing, etc. In this way the backup application can 294 Enabling a particular user to acknowledge or suppress certain process control alarms but not safety system alarms may allow another user to acknowledge or suppress certain safety system alarms but not process control system alarms, and may allow another user to set both types of alarms acknowledge or suppress. Of course, certain rules or rights to view the process control and safety system alarms, to acknowledge these alarms, to suppress these alarms, etc. can be established and enforced. If desired, various types of alarms can be displayed together, for example, safety device alarms can be displayed with process control device alarms, safety process alarms can be displayed with process control system process alarms, and safety hardware alarms can be displayed with process control system hardware alarms. Of course, these different alarms can be viewed together or separately, based on the types and sources of the alarms, or any combination of these.
Noch
weiter darüber
hinaus werden Sicherheitsalarme und -ereignisse zusammen mit den
Prozessalarmen und -ereignissen in derselben Datenbank elektronisch
gespeichert, wobei jeder/jedes beim Einspeichern in die Datenbank
zeiterfasst wird. Im Ergebnis wird eine zeiterfasste, zeitlich gestaffelte Aufzeichnung
von Prozessalarmen und -ereignissen mit einer zeiterfassten, zeitlich
gestaffelten Aufzeichnung von Sicherheitsalarmen und -ereignissen
zusammengefasst, und diese integrierte Zusammenfassung kann dazu
verwendet werden, die Interaktion zwischen dem Prozesssteuerungssystem 12 und dem
Sicherheitssystem 14 basierend auf den darin stattfindenden
Alarmen und Ereignissen noch leichter zu überblicken und zu bestimmen.Even further, security alarms and events are electronically stored in the same database along with the process alarms and events, with everyone being timed as they are stored in the database. As a result, a timed, staggered record of process alarms and events is summarized with a timed, staggered record of security alarms and events, and this integrated summary can be used to improve the interaction between the process control system 12 and the security system 14 Based on the alarms and events taking place, it is even easier to see and determine.
Es
ist klar, dass die Diagnoseanwendung 82 dieselben wie oben
im Hinblick auf die Konfigurationsanwendung 80 beschriebenen
Benutzer-Accounts und -Rechte verwenden kann, um verschiedene Diagnose-
oder Alarmsichtungszugriffsrechte zu definieren, wobei diese Rechte
so eingestellt werden können,
dass verschiedene Benutzerein heiten basierend auf der Art des Alarms,
der Herkunft des Alarms (Prozesssteuerung oder Sicherheitssystem), etc.,
Alarme ansehen, quittieren, abschalten (freigeben/sperren) können. Wie
klar wird, können
manche Benutzer nur Prozesssteuerungssystemalarme, nur Sicherheitssystemalarme
oder einige oder alle von beiden ansehen, quittieren oder abschalten.
Noch weiter darüber
hinaus können
Präferenzen
mit jedem Benutzer-Account verbunden sein, um es der Diagnoseanwendung 82 (z.B.
Alarmsichtung) zu ermöglichen,
basierend darauf, welche Benutzereinheit auf die Anwendung 82 zugreift,
automatisch unterschiedliche Ansichten, Filtereinstellungen, etc.
bereitzustellen.It is clear that the diagnostic application 82 the same as above for the configuration application 80 described user accounts and rights can be used to define different diagnostic or alarm view access rights, these rights can be set so that different user units based on the type of alarm, the origin of the alarm (process control or security system), etc. , View, acknowledge, switch off (enable / block) alarms. As is clear, some users can only view, acknowledge, or turn off process control system alarms, only safety system alarms, or some or all of both. Still further, preferences can be associated with each user account to make it the diagnostic application 82 (e.g. alarm sifting) based on which user unit is on the application 82 accesses, automatically provide different views, filter settings, etc.
Während eine
integrierte Anwendung zum Sichten von Alarmen (und Warnungen) als
ein Beispiel für
eine integrierte Diagnoseanwendung 82 erörtert wurde,
könnten
genauso auch andere Arten von integrierten Diagnoseanwendungen verwendet werden.
Insbesondere könnte
eine Diagnoseanwendung 82 eine hierarchische Ansicht der
Bereiche, Einheiten, Geräten,
Steuerungen, Module, Logikeinheiten, etc. in der Anlage bieten,
um es einem Benutzer zu ermöglichen,
jede in der Anlage enthaltene Diagnoseinformation zu erhalten, wie
etwa diejenige, die in den Geräten
oder der Ausrüstung
in der Anlage enthalten ist. Solch eine hierarchische Ansicht kann ähnlich der
Konfigurationsansicht von 3 sein aber
unterschiedliche Geräte,
Module, etc. für
das Prozesssteuerungs- bzw. Sicherheitssystem darstellen, das mit
unterschiedlichen Bereichen, Einheiten etc. zusammenhängt. Unter
Verwendung dieser Ansicht könnte
sich ein Benutzer in einen Prozessbereich, eine Einheit, etc. vorarbeiten,
um zu einem Prozesssteuerungssystemgerät, -modul, -funktionsblock,
etc. (und/) oder zu einem Sicherheitssystemgerät, -modul, -funktionsblock,
etc. zu gelangen. An jedem Punkt in der Ansicht kann der Benutzer
in der Lage sein, auf die gegenwärtig
verfügbaren
Diagnosedaten aus dem oder über
das Gerät,
das Modul, Funktionsblock, etc. zuzugreifen oder sie anzusehen, einschließlich der
Diagnosedaten, die vom Gerät, Modul,
Funktionsblock, etc. selbst generiert werden, oder Diagnosedaten,
die von anderen Werkzeugen wie Eich- und Prüfwerkzeugen (die Hard- und
Softwaretools sein können)
für diese
Entität
bestimmt werden. Diese Diagnosedaten können Gesundheits-, Modus- und
Statusdaten, momentane Einstellungen oder Betriebsparameterdaten
oder irgendwelche andere Daten umfassen, die von der Ausrüstung her
zur Verfügung
stehen. Auf diese Weise kann der Benutzer die Diagnoseanwendung 82 dazu
verwenden, um ein organisiertes und integriertes Verständnis des
gegenwärtigen
Zustands und der gegenwärtigen
Gesundheit sowohl der Prozesssteuerungssystem- als auch der Sicherheitssystemausrüstung zu
erlangen, und um über
eine gemeinsame Anwendung und sogar über eine gemeinsame Bildschirmanzeigemaske Zugriff
zu allen Diagnosedaten in der Anlage zu erhalten.While an integrated application for viewing alarms (and warnings) as an example of an integrated diagnostic application 82 other types of integrated diagnostic applications could also be used. In particular, a diagnostic application could 82 provide a hierarchical view of the areas, units, devices, controls, modules, logic units, etc. in the plant to enable a user to obtain any diagnostic information contained in the plant, such as that contained in the devices or equipment is included in the system. Such a hierarchical view can be similar to the configuration view of 3 but represent different devices, modules, etc. for the process control or safety system, which is related to different areas, units, etc. Using this view, a user could prepare into a process area, unit, etc. to go to a process control system device, module, function block, etc. (and /) or to a security system device, module, function block, etc. reach. At any point in the view, the user may be able to access or view the currently available diagnostic data from or via the device, module, function block, etc., including the diagnostic data provided by the device, module, function block, etc. itself generated, or diagnostic data determined by other tools such as calibration and testing tools (which may be hardware and software tools) for this entity. This diagnostic data may include health, mode, and status data, current settings or operational parameter data, or any other data available from the equipment. This way the user can run the diagnostic application 82 Use to gain an organized and integrated understanding of the current state and health of both process control and safety system equipment, and to access all diagnostic data in the plant through a common application and even through a common screen display mask.
Zusätzlich kann
eine solche Diagnoseanwendung 82 zusammenfassende Ansichten
bereitstellen, die Diagnosedaten von der Prozesssteuerungssystem – und/oder
Sicherheitssystemausrüstung
enthalten. Noch weiter darüber
hinaus können die
integrierten Ansichten vorgerollt werden, so dass Diagnosedaten
für eine
Einheit, einen Bereich, etc. auf eine zusammenfassende oder kombinierte
Weise angesehen werden können
und so, dass eine Gesamtintegrität
zu diesem Bereich, dieser Einheit, etc. bestimmt werden kann, indem
die Diagnosedaten von sowohl der Prozesssteuerungssystem – als auch der
Sicherheitssystemausrüstung
in diesem Bereich, dieser Einheit, etc. verwendet werden. Falls
gewünscht,
können
auch Diagnosewerkzeuge in dieser Diagnoseanwendung gespeichert und
von ihr aus implementiert werden. Beispielsweise kann eine Regelschleifenabstimmvorrichtung
(die beispielsweise entweder in einer Sicherheitssystem- oder einer
Prozesssteuerungssystemregelschleife eingesetzt werden kann) in
der Diagnoseanwendung 82 gespeichert werden oder von dieser
betrieben werden. Ein Benutzer kann auswählen, dieses Werkzeug zu benutzen,
wenn Diagnosedaten über
eine Regelschleife oder ein Steuermodul anzeigen, dass ein Regelkreis
schlecht abgestimmt ist oder nicht innerhalb von Solltoleranzen
arbeitet. Andere Diagnosewerkzeuge können Eich- und Prüfwerkzeuge
umfassen, die an irgendwelchen Arten von Geräten, Logikmodulen, etc. eingesetzt
werden.In addition, such a diagnostic application 82 Provide summary views that contain diagnostic data from the process control system and / or safety system equipment. Still further, the integrated views can be scrolled so that diagnostic data for a unit, area, etc. can be viewed in a summarized or combined manner and such that overall integrity for that area, unit, etc. can be determined by using the diagnostic data from both the process control system and safety system equipment in that area, unit, etc. If desired, diagnostic tools can also be saved in this diagnostic application and implemented from there. For example, a control loop tuner (which can be used in either a safety system or process control system control loop, for example) can be used in the diagnostic application 82 stored or operated by it. A user can choose to use this tool when diagnostic data via a control loop or control module indicates that a control loop is poorly tuned or does not operate within target tolerances. Other diagnostic tools may include calibration and testing tools that are used on any type of device, logic module, etc.
Noch
weiter darüber
hinaus kann eine gemeinsame Sicherungsanwendung in einem Arbeitsplatzrechner 16 (1) ablaufen, um eine Sicherheit für diesen
Arbeitsplatzrechner bereitzustellen, wodurch ein Benutzer sich nur
einmal (z.B. über
einen Benutzer-Account) in den Arbeitsplatzrechner einloggen und
verschiedene Anwendungen ablaufen lassen kann, um das Prozesssteuerungssystem 12 und/oder
das Sicherheitssystem 14 beispielsweise zu konfigurieren/in
Betrieb zu nehmen, herunterzuladen, zu sichten und betreiben (d.h.
Parameterwerte einzuschreiben), basierend auf den Rechten, die der Benutzereinheit
und dem Arbeitsplatzrechner 16 zugeteilt wurden. Diese
Integration von Anwendungen über
eine gemeinsame Sicherungsanwendung ermöglicht es Benutzern, die kombinierte
Funktionalität (z.B.
dass es einen Platz zum Konfigurieren von Alarmprioritäten, Sicherheit,
etc. gibt) leichter handhaben zu können, und macht es für Benutzer
auch einfacher, das System zu erweitern, das System zu modifizieren
(weil keine Übertragungen
erforderlich sind, um das System zu überarbeiten), und das System
zu aktualisieren (weil eine einzige, koordinierte Aktualisierungsstrategie
sowohl für
das Prozesssteuerungs- als auch Sicherheitssystem eingesetzt werden
kann). Überdies
können
Benutzer die Aktualisierung der Geräte, des Steuersystems und des
Sicherheitssystems je nach Bedarf im Ganzen oder in Teilen vornehmen.
Darüber
hinaus brauchen Benutzer die unterschiedlichen Teile des Systems
nicht separat zu prüfen
und zu hoffen, dass alles zusammenspielt, wenn alle Teile eingebaut
sind, weil die integrierte Natur des Systems es ihnen ermöglicht,
alles zusammen zu konfigurieren, zu prüfen und zu diagnostizieren.A shared backup application can work even further in a workstation 16 ( 1 ) run to provide security for this workstation where a user can log into the workstation only once (eg via a user account) and run various applications around the process control system 12 and / or the security system 14 For example, to configure / commission, download, view and operate (ie write parameter values) based on the rights of the user unit and the workstation 16 were allocated. This integration of applications through a common backup application enables users to more easily handle the combined functionality (e.g. there is a place to configure alarm priorities, security, etc.) and also makes it easier for users to expand the system, modify the system (because no transfers are required to revise the system) and update the system (because a single, coordinated update strategy can be used for both the process control and security systems). Furthermore, users can update the devices, the control system and the safety system in whole or in part as required. In addition, users do not need to test the different parts of the system separately and hope that everything will work together when all parts are installed, because the integrated nature of the system allows them to configure, test and diagnose everything together.
6 stellt eine Sicherungsanwendung 300 dar,
die in einem der Arbeitsplatzrechner 16 von 1 angeordnet ist, der automatisch
Sicherheitsvorgänge
an Maßnahmen
(wie Lese- und Schreibvorgängen)
vornehmen kann, die im integrierten Prozesssteuerungs- und Sicherheitssystem
von 1 basierend darauf
ergriffen werden, ob die Maßnahme (z.B.
der Lese- oder Schreibvorgang) mit einem Prozesssteuerungssystem-
oder einem Sicherheitssystemgerät
zusammenhängt.
Obwohl diese Sicherungsanwendung 300 als eine freistehende
Anwendung dargestellt ist, kann diese Anwendung natürlich auch
in irgendwelche andere Anwendungen eingebaut sein, die in den Bedienerarbeitsplatzrechnern 16 (oder
irgendwelchen anderen Computern) von 1 zum Einsatz
kommen, um sicherzustellen, dass Auslesevorgänge aus dem oder Einschreibvorgänge in das
Sicherheitssystem 14 (und, falls gewünscht, das Prozesssteuerungssystem 12)
auf eine gesicherte Weise stattfinden. Obwohl die Sicherungsanwendung 300 als
ein Teil (z.B. ein Unterprogramm bzw. Subroutine) der zuvor erörterten
Konfigurationsanwendung 80 und Diagnoseanwendung 82 verwendet
werden kann, kann sie auch in jeder Benutzeroberflächenanwendung 85 eingesetzt
werden, die es einem Benutzer ermöglicht, Änderungen am oder Einschreibvorgänge in das
Prozesssteuerungs- oder Sicherheitssystem vorzunehmen oder eine
Information über
diese Systeme zu sichten. Auch kann die Sicherungsanwendung 300 natürlich auch
die vorstehend im Hinblick auf die Konfigurations- und Diagnoseanwendungen 80 und 82 erörterten
Benutzer-Accounts
und Zugriffsrechte festlegen und durchsetzen. 6 provides a backup application 300 that is in one of the workstations 16 of 1 is arranged, which can automatically perform security operations on measures (such as read and write operations) that are carried out in the integrated process control and security system 1 based on whether the measure (e.g., the reading or writing process) is related to a process control system or a safety system device. Although this backup application 300 Shown as a freestanding application, this application can of course be built into any other application that is in the operator workstations 16 (or any other computer) from 1 are used to ensure that reads from or enrollment into the security system 14 (and, if desired, the process control system 12 ) take place in a secure manner. Although the backup application 300 as part (e.g. a subroutine) of the previously discussed configuration application 80 and diagnostic application 82 can also be used in any user interface application 85 are used, which enables a user to make changes to or write processes into the process control or security system or to view information about these systems. The backup application can also 300 of course, the ones above with regard to configuration and diagnostic applications 80 and 82 define and enforce discussed user accounts and access rights.
Die
Sicherungsanwendung 300 ist in 6 so dargestellt, dass sie kommunikativ
zwischen einer Kommunikationsschicht 262 und einer Benutzeranzeigenoberfläche 270,
wie etwa derjenigen, die vorstehend mit Bezug auf 4 erörtert
wurden, im Arbeitsplatzrechner 16 eingebunden ist und eine
Sicherheitsverarbeitungseinheit 301 umfasst, die Sicherheitsprozeduren
im Hinblick auf irgendwelche gewünschten
Auslese- oder Einschreibvorgänge
aus oder in das Prozesssteuerungssystem 12 oder das Sicherheitssystem 14 vornimmt.
Die Sicherungsanwendung 300 kann einen Satz von Sicherheitssystemregeln 302 und
einen Satz von Prozesssteuerungssystemregeln 304 speichern,
welche die Arten und die Natur der Sicherheit definieren, die für Auslesevorgänge aus
dem und Einschreibvorgänge
in das Sicherheitssystem 14 bzw. Prozesssteuerungssystem 12 zum
Tragen kommen sollen. Die Sicherheitsverarbeitungseinheit 301 kann
mit der Benutzeranzeigenoberfläche 270 zusammenarbeiten,
um Anforderungen nach Auslesevorgängen aus oder Einschreibvorgänge in Elemente
im Prozesssteuerungssystem 12 und Sicherheitssystem 14 zu
erfassen.The backup application 300 is in 6 represented as communicative between a communication layer 262 and a user ad interface 270 such as those described above with reference to 4 were discussed in the workstation 16 is involved and a security processing unit 301 which includes security procedures with respect to any desired read or write operations from or into the process control system 12 or the security system 14 performs. The backup application 300 can have a set of security system rules 302 and a set of process control system rules 304 store which define the types and nature of security required for reading out and enrolling in the security system 14 or process control system 12 should come to fruition. The security processing unit 301 can with the user ad interface 270 work together to make requests for reads or writes to items in the process control system 12 and security system 14 capture.
Basierend
auf Information aus der Benutzeranzeigenoberfläche 270, die einen
angeforderten Lese- oder Schreibvorgang betrifft, kann die Sicherheitsverarbeitungseinheit 301 eine
Herkunfts-/Be stimmungsableitungsdatei 306 verwenden, um
zu bestimmen, ob der angeforderte Lese- oder Schreibvorgang ein
Element (oder einen Parameter) des Prozessteuerungssystems oder
ein Element (einen Parameter) des Sicherheitssystems betrifft. Die
Herkunfts-/Bestimmungsableitungsdatei 306 kann auf einfache
Weise Information darüber
bereitstellen, welche Felder in der von der Benutzeroberfläche erzeugten
Anzeige welchen Elementen in der Prozessanlage entsprechen, und
kann, falls gewünscht,
die Identifizierungskennzeichen oder Adressen speichern, die mit
Bestimmungen von Anzeigefeldern in der Anzeige auf der Benutzeroberfläche zusammenhängen, um
dadurch zu ermöglichen,
dass die Sicherheitsverarbeitungseinheit 301 bestimmen
kann, ob sich eine besondere Maßnahme
oder Abfrage auf der Benutzeranzeige auf ein Prozesssteuerungs- oder
Sicherheitssystemelement bezieht. Nötigenfalls kann die Sicherheitsverarbeitungseinheit 301 statt dessen
auch Konfigurationsinformation verwenden, die in einer Konfigurationsdatenbank
gespeichert ist, um zu bestimmen, ob ein bestimmtes Element ein
Sicherheitssystem- oder ein Prozesssteuerungssystemelement ist.
Auf jeden Fall kann, nachdem bestimmt wurde, ob eine angeforderte
Maßnahme
ein Prozesssteuerungssystem- oder ein Sicherheitssystemelement betrifft
(und allgemein ausgedrückt, nachdem
die Adresse oder das Kennzeichen bestimmt wurde, die/das mit einem
angeforderten Auslesevorgang aus oder Einschreibvorgang in solch
ein Element verbunden ist), die Sicherheitsverarbeitungseinheit 301 auf
die Sicherheitsregeln 302 oder die Prozesssteuerungsregeln 304 zugreifen,
um zu bestimmen, ob ein solcher Lese- oder Schreibvorgang gestattet
ist, und, falls dem so ist, irgendwelche Sicherheitsprozeduren im
Hinblick auf einen solchen Lese- oder Schreibvorgang durchführen bzw.
implementieren.Based on information from the user ad interface 270 The security processing unit may relate to a requested read or write operation 301 an origin / determination derivation file 306 used to determine whether the requested read or write relates to an element (or parameter) of the process control system or an element (parameter) of the safety system. The origin / destination derivation file 306 can easily provide information about which fields in the display generated by the user interface correspond to which elements in the process plant, and, if desired, can store the identifiers or addresses associated with determinations of display fields in the display on the user interface thereby allowing the security processing unit 301 can determine whether a particular action or query on the user display relates to a process control or security system element. If necessary, the security processing unit 301 instead, use configuration information stored in a configuration database to determine whether a particular element is a security system or a process control system element. In any case, after it has been determined whether a requested action is taken Process control system or security system element (and, generally speaking, after determining the address or label associated with a requested read or write to such element) relates to the security processing unit 301 on the security rules 302 or the process control rules 304 access to determine whether such reading or writing is permitted and, if so, to implement any security procedures related to such reading or writing.
Beispielsweise
kann ein Benutzer unter Verwendung der Benutzeranzeige 269 anfordern,
einen Parameter in einem Sicherheitssystemgerät wie etwa einen Sollwert,
der mit dem Erfassen eines Fehlerzustands zusammenhängt, zu ändern. Die
Sicherheitsverarbeitungseinheit 301 bestimmt dann (für gewöhnlich zusammen
mit oder als Teil der Anwendung, die dazu ausgelegt ist, solche
Schreibvorgänge
freizu geben) die Bestimmung des Schreibvorgangs, indem sie die Adresse
oder das Identifizierungskennzeichen des Parameters bestimmt, für den ein
Schreibvorgang angefordert wird. Solch eine Adresse oder solch ein
Identifizierungskennzeichen kann in der Herkunfts-/Bestimmungsableitungsdatei 306 gespeichert
oder davon abgeleitet werden. Basierend auf der Adresse oder dem
Identifizierungskennzeichen bestimmt die Sicherheitsverarbeitungseinheit 301,
ob die Anfrage an einen Sicherheitssystem- oder einem Prozesssteuerungssystemparameter
gerichtet ist. Ist die Anfrage an einen Sicherheitssystemparameter
gerichtet, verwendet die Sicherheitsverarbeitungseinheit 301 die
Regeln in der Sicherheitsregeldatenbank 302, um zu bestimmen,
ob dieser Schreibvorgang gestattet ist, d.h., ob der Benutzer die
geeignete Berechtigung hat, den Einschreibvorgang in die Einheit
vorzunehmen. In manchen Fällen
kann es sein, dass die Benutzeroberflächenanwendung die Identität des Benutzers
bereits kennt und die Einschreibmöglichkeit des Benutzers zeitlich
früher
anzeigt, indem sie Abschnitte des Benutzeroberflächenbildschirms grau darstellt,
in die der Benutzer nicht einschreiben kann. In anderen Fällen kann
die Benutzeroberflächenanwendung
bei der Anforderung der Sicherheitsverarbeitungseinheit 301,
den Benutzer auffordern, ein Passwort oder eine Benutzerkennung
einzugeben, und kann diese nach der richtigen Berechtigung überprüfen, bevor
der angeforderte Schreibvorgang stattfindet.For example, a user can use the user display 269 request to change a parameter in a safety system device, such as a setpoint associated with the detection of a fault condition. The security processing unit 301 then determines (usually together with or as part of the application that is designed to enable such writes) the determination of the write by determining the address or identifier of the parameter for which a write is requested. Such an address or identifier can be found in the origin / destination derivation file 306 stored or derived from it. The security processing unit determines based on the address or the identifier 301 whether the request is directed to a safety system or process control system parameter. If the request is directed to a security system parameter, the security processing unit uses 301 the rules in the security rules database 302 to determine whether this write operation is permitted, ie whether the user has the appropriate authorization to perform the write operation into the device. In some cases, the user interface application may already know the identity of the user and indicate the user's enrollment time earlier by graying out portions of the user interface screen into which the user cannot enroll. In other cases, the user interface application may request the security processing unit 301 , ask the user to enter a password or a user ID and can check them for the correct authorization before the requested writing process takes place.
Richtet
sich der angeforderte Schreibvorgang andererseits an ein Prozesssteuerungssystemgerät, kann
die Sicherheitsverarbeitungseinheit 301 auf Regeln (oder
Zugriffsberechtigungen) in der Prozesssteuerungsregeldatenbank 304 zugreifen,
um zu bestimmen, ob der Benutzer im Prozesssteuerungssystem die
geeignete Berechtigung hat, um den angeforderten Schreibvorgang
vorzunehmen. Selbstverständlich
kann die Sicherheitsverarbeitungseinheit 301 dieselben
oder unterschiedliche Sicherheitsregeln für Lese- und Schreibvorgänge sowie
dieselben oder unterschiedlichen Sicherheitsregeln für Maßnahmen
an Prozesssteuerungssystem- und Sicherheitssystemelementen durchsetzen.
Jedenfalls lässt
die Sicherheitsverarbeitungseinheit 301, wenn sie bestimmt,
dass der Benutzer (was eine Anwendung zusätzlich zu einer Person, die
eine Benutzeroberfläche
verwendet, sein kann) die geeignete Berechtigung für den angeforderten
Lese- oder Schreibvorgang hat, die Kommunikationsschicht 262 eine geeignete
Lese- oder Schreibnachricht an das Prozesssteuerungs- oder Sicherheitssystemgerät schicken.
Zusätzlich
kann die Sicherheitsverarbeitungseinheit 301 irgendwelche
anderen Sicherheitsprozeduren (wie sie in den Regeldatenbänken 302 oder 304 gespeichert
sind), wie etwa Schreibüberprüfungsprozeduren,
implementieren, die für
einen Lese- oder Schreibvorgang erforderlich sind.If, on the other hand, the requested writing process is aimed at a process control system device, the security processing unit can 301 on rules (or access permissions) in the process control rule database 304 access to determine whether the user in the process control system has the appropriate authorization to perform the requested write. Of course, the security processing unit 301 Enforce the same or different security rules for read and write operations as well as the same or different security rules for measures on process control system and security system elements. In any case, the security processing unit 301 if it determines that the user (which may be an application in addition to a person using a user interface) has the appropriate authorization for the requested read or write, the communication layer 262 send an appropriate read or write message to the process control or safety system device. In addition, the security processing unit 301 any other security procedures (such as those in the rule databases 302 or 304 implemented), such as write verification procedures, required for a read or write operation.
7 stellt einen einfachen
Anzeigebildschirm 320 dar, der eine Benutzeroberfläche zeigt, die
es einem Benutzer ermöglicht,
Auslesevorgänge aus
den und Einschreibvorgänge
in sowohl die Prozesssteuerungssystem- als auch die Sicherheitssystemelemente
vorzunehmen, indem sie die von der Sicherungsanwendung 300 bereitgestellte
Sicherheit verwendet. Insbesondere hängt die linke Seite des Anzeigebildschirms 320 mit
Auslese- und Einschreibvorgängen
des Prozesssteuerungssystems für
ein bestimmtes Prozesssteuerungssystemelement zusammen, während die
rechte Seite des Bildschirms 320 mit Auslese- und Einschreibvorgängen des
Sicherheitssystems für
ein bestimmtes Sicherheitssystemelement zusammenhängt. 7 presents a simple display screen 320 which shows a user interface that enables a user to read from and write to both the process control system and security system elements by using the backup application 300 security provided. In particular, the left side of the display screen hangs 320 with read and write processes of the process control system for a specific process control system element together while the right side of the screen 320 is related to reading and writing processes of the security system for a specific security system element.
Wie
aus 7 ersichtlich wird,
kann ein Benutzer (oder die zugrundeliegende Anwendung) Werte ansehen
(auslesen), die mit einem Prozesssteuerungssystemregelkreis, der
CNTRLOOP1 genannt ist, zusammenhängen,
die verschiedenen Temperatur-, Druck- und Strömungswerte umfassen, die gegenwärtig in
diesem Kreis gemessen werden. Solche Ablesungen können permanent
sein (nicht vom Benutzer veränderbar),
wie in der Anzeige 320 im Bereich 321 dargestellt
ist. Zusätzlich
kann der Benutzer den aktuellen Temperatursollwert und die Reglerverstärkung ansehen,
die im Reglerkreis namens CNTRLOOP1 verwendet wird. Falls gewünscht, kann der
Benutzer diese Werte verändern,
indem er neue Werte in die Felder 322 und 324 eingibt,
die mit dem Temperatursollwert und der Reglerverstärkung zusammenhängen.How out 7 As can be seen, a user (or the underlying application) can view (read) values associated with a process control system control loop called CNTRLOOP1 that include the various temperature, pressure, and flow values currently measured in that loop. Such readings can be permanent (cannot be changed by the user), as in the display 320 in the area 321 is shown. In addition, the user can view the current temperature setpoint and controller gain used in the controller circuit called CNTRLOOP1. If desired, the user can change these values by entering new values in the fields 322 and 324 inputs that are related to the temperature setpoint and controller gain.
Auf ähnliche
Weise kann der Benutzer unter Verwendung der Anzeige 320 Information
ansehen und verändern,
die ein Sicherheitssystemelement betrifft. Insbesondere stellt die
rechte Seite des Bildschirms 320 Information dar, die mit
einem Sicherheitssystemkreis zusammenhängt (welcher beispielsweise
mit der Hardware zusammenhängt,
die vom Regelkreis CNTRLOOP1 gesteuert wird). in diesem Fall können bestimmte
Sicherheitssystemwerte wie der momentane Zustand von Abschaltventilen und
Druckschaltern dargestellt werden (wie bei 325 gezeigt
ist). Noch weiter darüber
hinaus können
benutzerkonfigurierbare Sicherheitssystemparameter wie ein Abschaltfüllstand
für einen
Behälter
namens Tank 1 und Abschalttemperaturen für Behälter namens Tank 1 und Tank
2 in den Feldern 326 und 328 gezeigt werden, welche
es zusätzlich
ermöglichen, dass
diese Parameter vom Benutzer verändert
werden können.Similarly, the user can use the display 320 View and change information related to a security system element. In particular, represents the right side of the picture screen 320 Information related to a security system loop (e.g. related to the hardware controlled by the CNTRLOOP1 loop). In this case, certain safety system values such as the current status of shut-off valves and pressure switches can be displayed (as with 325 is shown). Still further, user-configurable safety system parameters such as a shutdown level for a tank named Tank 1 and shutdown temperatures for tanks named Tank 1 and Tank 2 can be found in the fields 326 and 328 are shown, which also allow these parameters to be changed by the user.
Allgemein
ausgedrückt
hängt jedes
der Felder im Bildschirm 320 mit einer Adresse oder einem Element
innerhalb des Prozesssteuerungs- oder des Sicherheitssystems zusammen,
und dieser Zusammenhang kann in der Herkunfts-/Bestimmungsableitungsdatei 306 (6) gespeichert werden. Jedenfalls
kann die Sicherungsanwendung von 6 dazu verwendet
werden, sicherzustellen, dass wenn ein bestimmter Benutzer versucht,
einen überschreibbaren
Parameter zu verändern,
dieser Benutzer auch den geeigneten Berechtigungsgrad dazu hat.
Auf diese Weise kann die Sicherungsanwendung 300 auf Parameter
zugreifen und ermöglichen,
dass sie aus dem Prozesssteuerungs- oder dem Sicherheitssystem nur
dann ausgelesen werden können,
wenn der Benutzer oder die anfordernde Anwendung auch die geeignete
Berechtigung oder Genehmigung dazu besitzt. Aufgrund des gemeinsamen
Kommunikationsformats, das Adressen-, Kennzeichen- oder andere Felder
verwendet, um Prozesssteuerungssystem- von Sicherheitssystemelementen
zu unterscheiden, kann die Sicherungsanwendung 300 auf
einfache Weise eine separate Sicherheit für Auslesevorgänge aus
und Einschreibvorgänge
in das Prozesssteuerungssystem und für Auslesevorgänge aus
und Einschreibvorgänge
in das Sicherheitssystem (basierend auf den Feldern im Bildschirm 320)
unterscheiden und implementieren, wodurch ermöglicht wird, dass diese Auslese-
und Einschreibvorgänge
von einer gemeinsamen Benutzeroberflächenanwendung aus erfolgen
können.
Natürlich
kann die Sicherungsanwendung 300 zusammen mit der Benutzeroberflächenanwendung
darauf hinwirken, Bereiche in der Anzeige 320 grau auszulegen,
auf die der Benutzer keine Lese- oder Schreibrechte hat. Während die
Sicherungsanwendung 300 hier so beschrieben ist, dass sie
Sicherheit für
Auslese- und Einschreibvorgänge
aus dem und in das Prozesssteuerungs- und das Sicherheitssystem
(und die darin befindlichen Geräte
oder anderen Entitäten)
bereitstellt, wird klar, dass die Sicherungsanwendung 300 auch
andere Zugriffsebenen für
die unterschiedlichen Anwendungen durchsetzen kann, wie beispielsweise
das Erstellen von Logikmodulen freizugeben oder zu verhindern, Logikmodule
herunterzuladen, Eichprozeduren durchzuführen, Alarme zu sichten, quittieren und
freizugeben/sperren, etc.Generally speaking, each of the fields hangs on the screen 320 with an address or an element within the process control or security system, and this relationship can be found in the origin / destination derivation file 306 ( 6 ) get saved. In any case, the backup application of 6 are used to ensure that when a particular user tries to change an overwritable parameter, that user has the appropriate level of authorization. This way the backup application 300 access parameters and enable them to be read from the process control or safety system only if the user or the requesting application also has the appropriate authorization or approval. Because of the common communication format that uses address, tag, or other fields to distinguish process control system from security system elements, the security application can 300 Easily separate security for reads out and writes to the process control system and reads out and writes to the safety system (based on the fields on the screen 320 ) differentiate and implement, which enables these reads and writes to be performed from a common user interface application. Of course, the backup application can 300 along with the user interface application, work towards areas in the display 320 to be grayed out, to which the user has no read or write access. During the backup application 300 Described here as providing security for reads and writes out of and into the process control and security system (and the devices or other entities therein), it becomes clear that the backup application 300 can also enforce other access levels for the different applications, such as enabling or preventing the creation of logic modules, downloading logic modules, carrying out calibration procedures, viewing, acknowledging and releasing / locking alarms, etc.
Wie
klar wird, ist Benutzersicherheit für die Sicherheitssystemwerte
im Vergleich zu den Prozesssteuerungssystemwerten eindeutig definiert, und
es kann ein zusätzlicher
Schutz für
Veränderungen
durch einen On-line-Benutzer für
Sicherheitssystemwerte über
Prozesssteuerungssystemwerte implementiert werden, wobei eine solche
zusätzliche
Sicherheit durch die Sicherheitsregeldatenbank 302 und
die Prozesssteuerungsregeldatenbank 304 (6) festgelegt ist. Es ist nämlich die
Fähigkeit, den
Unterschied zwischen Sicherheitssystem- und Prozesssteuerungssystemwerten
zu erkennen, die es ermöglicht,
dass die eindeutige Handhabung von Sicherheitssystemwerten erzielt
werden kann. Somit kann jede Anwendung, die die Sicherungsanwendung 300 verwendet,
automatisch Auslese- und Einschreibevorgänge aus und in das Sicherheitssystem erkennen
und sicherstellen, dass die richtige Sicherheit und Schreibüberprüfung vorliegt,
um einen Wert in der Prozessanlage 10 zu verändern. Dieses
automatische Verfahren zum Bewerkstelligen gesicherter Einschreibvorgänge kann
eingesetzt werden, um sicherzustellen, dass Schreibwerte, die an
die Sicherheitssteuerung geschickt werden, gültig sind, wodurch eine umfangreiche
Benutzerprogrammierung, die mit anderen Arten von Lösungen erforderlich
ist, entfällt.As will be clear, user security is clearly defined for the security system values compared to the process control system values, and additional protection against changes by an online user for security system values can be implemented via process control system values, with such additional security through the security rules database 302 and the process control rule database 304 ( 6 ) is set. Namely, it is the ability to recognize the difference between security system and process control system values that enables the unique handling of security system values to be achieved. Thus, any application that has the backup application 300 Used to automatically read and write processes into and out of the safety system and ensure that the correct safety and write verification is present for a value in the process plant 10 to change. This automatic method of accomplishing secure write operations can be used to ensure that write values sent to the safety controller are valid, eliminating the extensive user programming required with other types of solutions.
Als
ein Beispiel für
eine Sicherheitsprozedur, wird ein Verfahren zum Durchführen gesicherter
Einschreibvorgänge
nachstehend ausführlicher
beschrieben. Als Hintergrund erfordert der IEC 61511-Standard, jedes Mal,
wenn eine Änderung
an einem Betriebsparameter eines Sicherheitssystems vorgenommen
wird, einen Bestätigungswiederholungsschritt.
Die Sicherheitsverarbeitungseinheit 301 kann diesen Bestätigungswiederholungsschritt
automatisch implementieren, wenn er in der Sicherheitsregeldatenbank 302 als
Prozedur definiert ist, die für Einschreibvorgänge in das
Sicherheitssystem durchzuführen
ist. Somit kann die Sicherungsanwendung 300 unter Verwendung
der Regeldatenbank 302 einen Bestätigungswiederholungsschritt
(oder irgendeine andere Prozedur) bei allen Einschreibvorgängen in
das Sicherheitssystem ohne zusätzliche Programmierung
oder spezielle Konfiguration seitens eines Benutzers erzwingen.As an example of a security procedure, a method of performing secure enrollment operations is described in more detail below. As a background, the IEC 61511 standard requires a retry confirmation step every time a change is made to an operating parameter of a security system. The security processing unit 301 can automatically implement this retry step if it is in the security rules database 302 is defined as a procedure that is to be carried out for enrollment processes in the security system. So the backup application 300 using the rules database 302 force a retry confirmation step (or any other procedure) on all security system enrollments without additional programming or special configuration by a user.
Der
IEC-Standard ist auf eine Weise formuliert, die den Wunsch ausdrückt, einen
Bediener daran zu hindern, das falsche Objekt ändern zu wollen oder die Prozessfolgen
der Veränderung
nicht nachvollziehen zu können,
und zur Verhinderung von Nachrichtenverfälschung beizutragen. Um diesen Standard
durchzusetzen, übernehmen
die meisten integrierten Prozesssteuerungs- und Sicherheitssysteme
Daten aus dem Prozesssteuerungssystem in das Sicherheitssystem und
erstellen dann „bist
du sicher?"-Dialoge
in der Bedienergrafik, bevor eine einzige Nachricht verschickt wird,
die das Sicherheitssystem verändert.The IEC standard is formulated in a way that expresses the desire to prevent an operator from wanting to change the wrong object or from being unable to understand the process consequences of the change, and to help prevent message corruption. To implement this standard, most of the integrated process control and safety systems take over data from the process control system into the safety system and then create "are you sure?" dialogs in the operator graphics before a single message is sent that changes the safety system.
Es
wird jedoch nachstehend ein sichereres Verfahren zum Implementieren
eines Leistungsmerkmals des gesicherten Schreibens im Einzelnen
beschrieben, das für
alle Anwendungen wie Arbeitsabläufe,
Konfigurations- und Diagnoseanwendungen verwendet werden kann. Es
wäre festzuhalten,
dass diese Technik oder dieses Leistungsmerkmal auf jede von einem
Benutzer ausgelöste
Veränderung oder
Maßnahme
am Sicherheitslogiklöser,
der von irgendeiner Anwendung aus eingeleitet wurde, angewandt werden
kann, und als solches dazu eingesetzt werden kann, Werte in einem
Sicherheitssystemlogiklöser
zu verändern,
indem irgendwelche Befehle wie Inbetriebsetzungsbefehle, Befehle
zum Herunterladen, Sperrbefehle, Umschaltbefehle, etc. verwendet
werden. Zusätzlich
kann das nachstehend beschriebene Leistungsmerkmal des gesicherten Schreibens
für irgendwelche
Nachrichten verwendet werden, die zwischen irgendwelchen zwei Anwendungen
verschickt werden, um eine verstärkte
Sicherheit bereitzustellen, um sowohl versehentliche Verfälschung
als auch unerlaubte Änderungen
zu verhindern, wie etwa diejenigen, die durch Hacker, Viren und
dergleichen ausgelöst
werden.It
however, below is a safer method to implement
of a feature of the secure letter in detail
described that for
all applications like workflows,
Configuration and diagnostic applications can be used. It
would be noted
that this technique or feature on each of one
User triggered
Change or
measure
at the safety logic solver,
that was initiated from any application
can, and as such can be used to create values in one
Safety system logic solvers
to change,
by giving any commands like commissioning commands, commands
used for downloading, lock commands, toggle commands, etc.
become. additionally
can use the secure letter feature described below
for any
Messages are used between any two applications
be shipped to a reinforced
Provide security to both accidental adulteration
unauthorized changes as well
prevent such as those caused by hackers, viruses and
the like triggered
become.
Um
das Leistungsmerkmal eines gesicherten Schreibvorgangs zu implementieren,
befindet sich ein Server 350 für gesicherte Schreibvorgänge (6) im Host-Arbeitsplatzrechner 16,
und, wie in 1 dargestellt,
befindet sich ein (Rechner-Client 360 genannter) Client 360 für gesicherte
Schreibvorgänge
in den Prozesssteuerungssystemsterungen 24 oder 26,
und ein (Logiklöser-Client 370 genannter) Client 370 für gesicherte
Schreibvorgänge
befindet sich in den Sicherheitslogiklösern 50 – 56.
Wird ein Änderungsbefehl
durch einen Benutzer oder eine andere Anwendungsart ausgelöst, überprüft die Sicherungsanwendung
zuerst, ob der Benutzer (oder die Anwendung) die erforderlichen
Zugriffsrechte oder -zulassungen hat, um die Änderung vorzunehmen. Ist dem
so, wirken der Server 350 für gesicherte Schreibvorgänge und
die Clients 360 und 370 daraufhin, sicherzustellen,
dass der Benutzer, der die Änderung
vornehmen soll, und die Nachricht nicht während der Übertragung entweder vom Host-Arbeitsplatzrechner 16 zu
den Steuerungen 24 oder 25 bzw. von den Steuerungen 24 oder 26 zu
den Sicherheitslogiklösern 50 – 56 verfälscht wird.
Darüber
hinaus stellen der Server 350 für gesicherte Schreibvorgänge und
die Clients 360, 370 sicher, dass die Nachricht am
richtigen Bestimmungsort ankommt und verhindern gleichzeitig, dass
eine falsch erzeugte Nachricht eine Veränderung verursacht.A server is located to implement the feature of a secure write process 350 for secure writes ( 6 ) in the host workstation 16 , and, as in 1 shown, there is a (computer client 360 named) client 360 for secure writes in process control system testing 24 or 26 , and a (logic solver client 370 named) client 370 for secure writes is in the security logic solvers 50 - 56 , If a change command is triggered by a user or another type of application, the backup application first checks whether the user (or the application) has the necessary access rights or permissions to make the change. If so, the server works 350 for secure writes and clients 360 and 370 then ensure that the user who is to make the change and the message are not in transit either from the host workstation 16 to the controls 24 or 25 or from the controls 24 or 26 to the safety logic solvers 50 - 56 is falsified. In addition, the server 350 for secure writes and clients 360 . 370 ensure that the message arrives at the right destination and at the same time prevent an incorrectly generated message from causing a change.
Allgemein
ausgedrückt,
verpackt der Server 350 für gesicherte Schreibvorgänge beim
Empfang eines Änderungsbefehls
von einem Benutzer oder einer anderen Anwendungsart den Änderungsbefehl mit
den nötigen
Daten wie der Bestimmung, dem zu ändernden Parameter, dem Wert,
etc., und fügt
ein CRC-Feld (CRC – cyclical
redundancy check) für
zyklische Redundanzprüfung
hinzu, das für
dieses Paket oder diese Nachricht erzeugt wird. Dann schickt der
Server 350 für
gesicherte Schreibvorgänge
den Änderungsbefehl
mit der CRC an den geeigneten Steuerungs-Client 360, welcher
den Änderungsbefehl
quittiert (und, falls gewünscht,
eine Antwort zurück
an den Server 350 für
gesicherte Schreibvorgänge
schickt, mit den Einzelheiten darüber, was der Steuerungs-Client 360 als Änderungsinformation empfangen
hat). Der Server 350 für
gesicherte Schreibvorgänge
zeigt die Änderungsinformation
wie etwa den Namen, das Schlüsselwort
des Objekts, und was zu ändern
angefordert wurde, dem Benutzer zur Überprüfung an. Falls gewünscht, kann
der Server 350 für
gesicherte Schreibvorgänge
die Änderungsdaten
aus dem Änderungsbefehl
wie er an den Steuerungs-Client 360 geschickt wurde, hernehmen, um
sicherzustellen, dass der Benutzer auch die Information überprüft, die
tatsächlich
an den Steuerungs-Client 360 geschickt wurde. Schickt der
Steuerungs-Client 360 hingegen die Änderungsdaten wie sie vom Steuerungs-Client 360 empfangen
wurden, zurück
zum Server 350 für
gesicherte Schreibvorgänge,
kann dieser diese Information dem Benutzer zur Überprüfung anzeigen.Generally speaking, the server packs 350 For secure write operations when receiving a change command from a user or another type of application, the change command with the necessary data such as the determination, the parameter to be changed, the value, etc., and adds a CRC field (CRC - cyclical redundancy check) for cyclical Redundancy check added, which is generated for this package or this message. Then the server sends 350 for secure write operations, the change command with the CRC to the appropriate control client 360 , which acknowledges the change command (and, if desired, a response back to the server 350 for secure writes, with details of what the control client 360 received as change information). The server 350 for secure writes, the change information, such as the name, keyword of the object, and what was requested to change, shows the user for review. If desired, the server 350 For saved write processes, the change data from the change command as sent to the control client 360 was sent to ensure that the user also checked the information that was actually sent to the control client 360 was sent. Sends the control client 360 however, the change data as it is from the control client 360 received back to the server 350 for secure writes, he can display this information to the user for review.
Der
Server 350 für
gesicherte Schreibvorgänge
kann dem Benutzer die Änderungsinformation beispielsweise über ein
Dialogfeld auf der Benutzeranzeige anzeigen, das es dem Benutzer
ermöglicht, zu überprüfen, ob
die Änderungsinformation
korrekt ist (indem er beispielsweise eine OK- oder eine Bestätigungstaste
im Dialogfeld wählt).
Nach der Überprüfung durch
den Benutzer (oder, falls notwendig, eine Anwendung), schickt der
Server 350 für
gesicherte Schreibvorgänge
einen zweiten Änderungsbefehl
(einen Änderungswiederholungsbefehl)
mit den Änderungsdetails,
wie sie vom Benutzer überprüft wurden,
an den Steuerungs-Client 360. Insbesondere verpackt der
Server 350 für
gesicherte Schreibvorgänge
die Änderungsbefehlsdaten
(wie sie vom Benutzer überprüft wurden),
einschließlich, zum
Beispiel, der Bestimmung, dem zu ändernden Parameter, dem Wert,
etc., zusammen mit einer CRC, die für dieses Paket oder diese Nachricht
erstellt wurde, und schickt diesen zweiten Änderungsbefehl an den Steuerungs-Client 360.
Es wäre
festzuhalten, dass, wenn keine Verfälschung stattgefunden hat,
der erste Änderungsbefehl
(und die CRC-Daten) und der zweite oder Änderungswiederholungsbefehl (und
seine CRC-Daten) identisch sein werden.The server 350 For saved writes, for example, the user can view the change information through a dialog box on the user display that enables the user to verify that the change information is correct (for example, by choosing an OK or Confirm key in the dialog box). After being checked by the user (or, if necessary, an application), the server sends 350 for saved writes, a second change command (a change repeat command) with the change details as checked by the user to the control client 360 , In particular, the server packs 350 for secure writes, the change command data (as checked by the user), including, for example, the destination, the parameter to be changed, the value, etc., along with a CRC created for this package or message and sends this second change command to the control client 360 , It should be noted that if there has been no corruption, the first change command (and the CRC data) and the second or repeat repeat command (and its CRC data) will be identical.
Nach
dem Empfang des zweiten oder Änderungswiederholungsbefehls
vergleicht der Steuerungs-Client 360 den zweiten Änderungsbefehl
mit dem ersten, um zu sehen, ob sie gleich sind (was bedeutet, dass
keine Verfälschung
aufgetreten ist, und dass der Benutzer die im ersten Änderungsbefehl vorhandene Änderungsinformation überprüft hat). Falls
gewünscht,
kann der Steuerungs-Client 360 einfach bestimmen, ob die
beiden Änderungsnachrichten
gleich sind oder dieselben CRC-Daten aufweisen. Alternativ kann
der Steuerungs-Client 360 die Nachrichten decodieren, um
zu sehen, ob die in jeder enthaltene Änderungsinformation gleich
ist, obwohl dieses Vorgehen in manchen Sicherheitssystemen nicht
zugelassen sein kann. Sind die Nachrichten oder Änderungsinformationen gleich,
schickt der Steuerungs-Client 360 dann eine Änderungsanforderung
an den entsprechenden Logiklöser-Client 370. Falls
gewünscht,
kann diese Änderungsanforderung Information
sowohl aus dem ersten als auch dem zweiten Änderungsbefehl enthalten. Alternativ
können
nur die CRC-Daten aus sowohl den Änderungsbefehlen als auch die
Daten aus einem der Befehle, z.B. dem ersten Änderungsbefehl, als Teil der Änderungsanforderung
vom Steuerungs-Client 360 zum Logiklöser-Client 370 geschickt
werden.After receiving the second or change retry retry command, the control client compares 360 the second change command with the first to see if they are the same (meaning that no tampering has occurred and that the user has checked the change information present in the first change command). If desired, the control client 360 simply determine whether the two change messages are the same or have the same CRC data. Alternatively, the control client 360 decode the messages to see if the change information contained in each is the same, although this approach may not be permitted in some security systems. If the messages or change information are the same, the control client sends 360 then a change request to the appropriate logic solver client 370 , If desired, this change request can include information from both the first and second change commands. Alternatively, only the CRC data from both the change commands and the data from one of the commands, for example the first change command, can be part of the change request from the control client 360 to the logic solver client 370 sent.
Der
Logiklöser-Client 370 empfängt die Änderungsanforderung
und decodiert die Anforderung, um sicherzustellen, dass die Änderungsanforderung an
die richtige Stelle geschickt wurde und ansonsten unverfälscht ist.
Diese Schritte können
ein Prüfen
eines oder beider der CRC-Datenpakete mit sich bringen, um zu bestimmen,
ob die CRC-Information wirklich der eingeschlossenen Änderungsnachricht
entspricht, indem bestimmt wird, ob die CRC-Pakete gleich sind (was
sie sein sollten), und indem bestimmt wird, ob der Bestimmungsort
für die Änderung sich
innerhalb des Sicherheitslogikösers
befindet oder über
ihn geht. Ist die Änderungsinformation
aus den beiden Änderungsbefehlen
in dieser Nachricht enthalten, kann der Logilöser-Client wieder überprüfen, um
zu be stimmen, ob die Änderungsinformation mit
der Prüfung übereinstimmt,
um sicherzustellen, dass bei der Übertragung vom Steuerungs-Client 360 zum
Logiklöser-Client 370 keine
Verfälschung stattgefunden
hat. Bestimmt der Logiklöser-Client 370,
dass die Änderungsnachricht
korrekt ist, kann der Logiklöser-Client 370 die
Logiklöser 50 – 56 die Änderung
implementieren lassen, und schickt eine Bestätigung zurück an den Steuerungs-Client 360, dass
die Änderung
implementiert wird. Der Steuerungs-Client 360 kann diese
Bestätigung
an der Server 350 für
gesicherte Schreibvorgänge
schicken, der dem Benutzer eine Bestätigung anzeigen kann, dass
die Änderung
durchgeführt
wird. Tritt irgendwo im Prozess ein Fehler auf, können der
Logiklöser-Client 370 und/oder
der Steuerungs-Client 360 den Server 350 für gesicherte
Schreibvorgänge über den Fehler
und irgendwelche bekannten Einzelheiten über den Fehler informieren
(wie etwa, dass die CRCs nicht passten, die Nachricht an einem falschen Bestimmungsort
ankam, etc.). Der Server 350 für gesicherte Schreibvorgänge kann
den Benutzer dann darüber
informieren, dass die Änderung
nicht durchgeführt
wurde, und kann ihn über
irgendwelche gewünschten
Details über
diesen Fehler informieren, der im Schreibprozess aufgetreten ist.The logic solver client 370 receives the change request and decodes the request to ensure that the change request has been sent to the correct location and is otherwise genuine. These steps can involve checking one or both of the CRC data packets to determine whether the CRC information really corresponds to the included change message by determining whether the CRC packets are the same (what they should be), and by determining whether the destination for the change is within or over the safety logic solver. If the change information from the two change commands is contained in this message, the logic solver client can check again to determine whether the change information matches the check to ensure that the transmission from the control client 360 to the logic solver client 370 no falsification has taken place. Determines the logic solver client 370 The logic solver client can confirm that the change message is correct 370 the logic solvers 50 - 56 have the change implemented and send a confirmation back to the control client 360 that the change is implemented. The control client 360 can send this confirmation to the server 350 for secure writes, which can provide the user with confirmation that the change is being made. If an error occurs anywhere in the process, the logic solver client can 370 and / or the control client 360 the server 350 for secure writes, inform about the error and any known details about the error (such as that the CRCs did not match, the message arrived at an incorrect destination, etc.). The server 350 for saved writes, the user can then be informed that the change has not been made and can provide any desired details about this error that occurred in the writing process.
Als
Beispiel kann ein Benutzer eine gewünschte Änderung über ein Dialogfeld für gesicherte
Schreibvorgänge
in einer Bildschirmanzeige eingeben. Nachdem sie bestimmt hat, ob
der Benutzer die Berechtigung zum Durchführen der Änderung hat, ruft die Anwendung
dann den Server 350 für
gesicherte Schreibvorgänge
auf und gibt den Pfad, den Parametertyp und den aktuellen Wert an
diesen weiter. Der Server für
gesicherte Schreibvorgänge
generiert dann eine Anforderung für einen gesicherten Schreibvorgang
mit dem Befehl „Parameter, Änderung" (Parameter, Change),
dem Pfad, dem neuen Wert und der CRC und schickt diese Anforderung
für einen
gesicherten Schreibvorgang an den entsprechenden Prozesssteuerungssystemsteuerung 24 oder 26.
Der Server 350 für
gesicherte Schreibvorgänge
erstellt dann den Bestätigungsdialog
mit dem Benutzer, indem er Daten aus einer Kopie der zyklisch redundant überprüften (CRC-)Daten,
die an den Rechner 24 oder 26 geschickt wurden,
verwendet. Das Dialogfeld kann den Pfad und den Wert darstellen,
und der Server 350 für
gesicherte Schreibvorgänge
kann die Bestätigungs-
oder OK-Taste im Dialogfeld nur dann freigeben lassen, wenn der Änderungsbefehl
vom richtigen Rechner 24 oder 26 quittiert wurde.
Beim Empfang des Änderungsbefehls quittiert
der Steuerungs-Client 360 in
der Steuerung 24 oder 26 den Änderungsbefehl und speichert
das zyklisch redundant überprüfte Datenelement
im entsprechenden Modul oder Block ab.As an example, a user can enter a desired change through a saved write dialog box on an on-screen display. After determining whether the user has permission to make the change, the application then calls the server 350 for saved writes and passes on the path, the parameter type and the current value to it. The secure write server then generates a secure write request with the parameter, change command, path, new value, and CRC and sends that secure write request to the appropriate process control system controller 24 or 26 , The server 350 For secure write processes, the confirmation dialog is then created with the user by sending data from a copy of the cyclically redundantly checked (CRC) data to the computer 24 or 26 were used. The dialog box can represent the path and value, and the server 350 for saved writes, the confirmation or OK button in the dialog box can only be released if the change command from the correct computer 24 or 26 was acknowledged. The control client acknowledges when the change command is received 360 in the controller 24 or 26 the change command and saves the cyclically redundantly checked data element in the corresponding module or block.
An
diesem Punkt überprüft der Benutzer,
ob der Wert im Bestätigungsdialogfeld
richtig ist und wählt
die Bestätigungs-
oder OK-Taste. Der
Server 350 für
gesicherte Schreibvorgänge
generiert dann den zweiten oder Änderungswiederholungsbefehl (die
zweite Nachricht) als den Befehl (Parameter, Change), den Pfad,
den Wert aus dem Bestätigungsdialog
und der CRC für
diese Daten enthaltend, und schickt diese Nachricht an den Steuerungs-Client 360.
Die Prozesssteuerung 24, 26 empfängt den zweiten
oder Änderungswiederholungsbefehl
und vergleicht das zyklisch redundant überprüfte Datenelement aus diesem
Befehl mit dem früher
gespeicherten (das mit dem ersten Änderungsbefehl zusammenhängt). Sind
sie gleich, werden die beiden Elemente (z.B. der ganze erste Änderungsbefehl
mit CRC und die CRC aus dem zweiten Änderungsbefehl) in eine Änderungsanforderung
gestellt, die an den geeigneten Logiklöser 50 – 56 geschickt
werden soll. Im Ergebnis werden nur Änderungsanforderungen, die überprüft wurden,
an den Sicherheitslogiklöser 50 – 56 geschickt,
was die Möglichkeit,
unerlaubte Änderungen
und irgendeine Verfälschung
zu machen noch mehr reduziert, weil Steuernetzkommunikationen, Arbeitsplatz-
oder Steuerungsprobleme am Steuerungs-Client erfasst werden.At this point, the user checks that the value in the confirmation dialog box is correct and selects the confirmation or OK button. The server 350 for secure writes, then generates the second or retry command (the second message) as the command (parameter, change), containing the path, value from the confirmation dialog, and the CRC for this data, and sends this message to the control client 360 , The process control 24 . 26 receives the second or change retry command and compares the cyclically redundantly checked data item from this command with that previously stored (which is related to the first change command). If they are the same, the two elements (eg the entire first change command with CRC and the CRC from the second change command) are made in a change request to the appropriate logic solver 50 - 56 should be sent. As a result, only change requests that have been checked are released to the security logic ser 50 - 56 sent, which further reduces the possibility of making unauthorized changes and any falsification, because control network communications, workplace or control problems are recorded on the control client.
Der
Logiklöser-Client 370 empfängt den Änderungsbefehl
und überprüft, ob die
beiden CRCs übereinstimmen.
Der Logiklöser-Client 370 nimmt dann
die Änderungsdaten
in der Nachricht und überprüft die CRC
für diese
Daten. Ist die CRC einwandfrei oder richtig, wird dann der Pfad überprüft, um sicherzustellen,
dass die Nachricht an die richtige Stelle geschickt wurde. Dieser
letzte Überprüfungsschritt stellt
sicher, dass keine Verfälschung
im Kommunikationspfad vom Rechner 24, 26 zu den Sicherheitslogiklösern 50 – 56 stattgefunden
hat. Wenn der Logiklöser-Client 370 feststellt,
dass alle Prüfungen
einwandfrei sind, wird der Wert in den Parameter eingeschrieben
und der Status des Schreibvorgangs an den Steuerungs-Client 360 zurückgemeldet,
welcher wiederum dem Server 350 für gesicherte Schreibvorgänge eine
Bestätigungsnachricht
bereitstellen kann, die dem Benutzer angezeigt werden soll.The logic solver client 370 receives the change command and checks whether the two CRCs match. The logic solver client 370 then takes the change data in the message and checks the CRC for that data. If the CRC is correct or correct, the path is then checked to ensure that the message has been sent to the correct location. This last check step ensures that there is no corruption in the communication path from the computer 24 . 26 to the safety logic solvers 50 - 56 has taken place. If the logic solver client 370 determines that all checks are flawless, the value is written into the parameter and the status of the write process to the control client 360 reported back, which in turn to the server 350 can provide a confirmation message for secure writes to be displayed to the user.
Indem
diese Prozedur verwendet wird, werden sowohl die ursprüngliche
Anforderung als auch die bestätigte
Anforderung von einem Menschen, der Steuerung und dem Sicherheitslogiklöser verglichen, was
diese Prozedur sicherer macht als andere bekannte Lösungen,
die nur einen Vergleich durch den Menschen vorsehen, ohne zwei Anforderungen
zu verwenden. Andere Systeme nämlich,
die Wiederholungsnachrichten erzeugen, tun dies typischerweise nur
bei der Benutzeranwendung, indem sie den Benutzer mit einem Bestätigungsdialog
auffordern, bevor der Änderungsbefehl
von der Benutzeroberflächenmaschine
tatsächlich
verschickt wurde. Diese Systeme schicken aber nur eine Nachricht
an das Sicherheitsgerät,
in dem das Element geändert
werden soll. Im Ergebnis verhindern diese bekannten Verfahren keine
Verfälschung
während
der Übertragung und
stellen auch nicht sicher, dass die Nachricht am richtigen Bestimmungsort
ankommt (z.B., wenn das Bestimmungsfeld in der Nachricht verfälscht wird).By doing
This procedure is used to be both the original
Requirement as well as the confirmed
Requirement from a human, the controller and the security logic solver compared what
this procedure makes it safer than other known solutions,
that only provide a human comparison without two requirements
to use. Other systems,
that generate retry messages typically only do so
in the user application by providing the user with a confirmation dialog
prompt before the change command
from the user interface machine
indeed
was sent. However, these systems only send a message
to the security device,
in which the element changed
shall be. As a result, these known methods do not prevent
adulteration
while
the transmission and
Also, don't make sure the message is in the right destination
arrives (e.g. if the destination field in the message is falsified).
Obwohl
die Schreibwiederholungsprozedur vorstehend als von einem Server 350 zu
einem Steuerungs-Client 360 und dann zu einem Logiklöser-Client 370 ablaufend
beschrieben wurde, wird auch klar, dass die Prozedur mehr oder weniger
Stufen umfassen könnte.
Werden mehr Stufen verwendet, kann die dritte und nachfolgende Stufe
am empfangenden Ende ähnlich
wie der Logiklöser-Client 370 und
am sendenden Ende ähnlich
wie der Steuerungs-Client 360 bis zur letzten Stufe arbeiten.
Werden weniger Stufen verwendet, sollte der Server 350 immer
noch zwei Schreibbefehle verschicken, wenn der Client aber feststellt,
dass sie gleich sind, kann er dann die Änderung implementieren. Darüber hinaus
wird klar, dass der Server 350 und die Clients 360 und 370 software-,
hardware- und firmwaremäßig unter
Verwendung irgendeines beliebigen Kommunikations- und Softwareprotokolls
implementiert werden können.Although the write retry procedure above as from a server 350 to a control client 360 and then to a logic solver client 370 has been described in progress, it is also clear that the procedure could comprise more or fewer stages. If more levels are used, the third and subsequent levels at the receiving end can be similar to the logic solver client 370 and at the sending end similar to the control client 360 work to the last level. If fewer levels are used, the server should 350 still send two write commands, but if the client determines that they are the same, it can implement the change. It also becomes clear that the server 350 and the clients 360 and 370 can be implemented in software, hardware and firmware using any communication and software protocol.
Wie
vorstehend festgestellt, können
Nachrichten von und an Sicherheitssystem- und Prozesssteuerungssystemgeräten durch
die Adresse oder das Identifizierungskennzeichen erfasst werden, die/das
mit dem Gerät
zusammenhängt.
Falls gewünscht,
kann die Herkunftsadresse für
die verschiedenen Sicherheitslogikgeräte aus Schienenbusnachrichten
abgeleitet werden und kann aus einer Rückwandplatinen-ID (BPID – backplane
ID), die an jedem Knoten gleich aber innerhalb der Prozessanlage
einzigartig ist, und einer Schlitz-ID (SID – slot-ID) bestehen, die sich
von Knoten zu Knoten wiederholen kann, aber innerhalb eines Knotens
einzigartig ist. Auf diese Weise kann jedes Gerät eine eindeutige Adresse haben
und somit als ein Sicherheitssystemgerät oder ein Prozesssteuerungssystemgerät unterscheidbar
sein.How
noted above can
Messages from and to security system and process control system devices
the address or identifier is recorded
with the device
related.
If desired,
can be the home address for
the various safety logic devices from rail bus messages
and can be derived from a backplane ID (BPID - backplane
ID), which is the same at every node but within the process plant
is unique, and a slot ID (SID - slot ID) that is unique
can repeat from node to node, but within a node
is unique. In this way, each device can have a unique address
and thus distinguishable as a safety system device or a process control system device
his.
Obwohl
das eingebettete Sicherheitssystem irgendeine/s von vielen möglichen
Nachrichtenstrukturen oder Kommunikationsprotokollen benutzen kann,
können
in einem Fall die folgenden Nachrichtenstrukturen benutzt werden.
Insbesondere können Busnachrichten
im Allgemeinen drei grundlegende Teile umfassen, die einen Datenvorlauf
umfassen, (z.B. 1 Byte), einen Daten- oder Nachrichtenteil (z.B. 129
Bytes) und einen Datennachlauf (z.B. 1 Byte). Die Datenvorlauf-
und Datennachlaufteile sind für eine
Hardwaresynchronisierung vorgesehen, während der Datenteil die tatsächliche
Nachricht enthält, die
eine Bedeutung für
eine bestimmte Adresse hat. Falls gewünscht, kann eine Hardwarebiteinfügung im Nachrichtenteil
der Nachstruktur auf hoher Ebene erfolgen.Even though
the embedded security system any of many possible
Can use message structures or communication protocols,
can
in one case the following message structures are used.
In particular, bus messages
generally include three basic parts that advance a data
comprise, (e.g. 1 byte), a data or message part (e.g. 129
Bytes) and a data post-run (e.g. 1 byte). The data lead
and data tracking parts are for one
Hardware synchronization provided while the data part is the actual one
Message that contains
meaning for
has a specific address. If desired, hardware bit insertion in the message part
post-structure at a high level.
Allgemein
ausgedrückt
kann der Daten- oder Nachrichtenteil einer Nachricht in sieben Felder
mit einer Gesamtlänge
von bis zu einer maximal verfügbaren
Länge für eine bestimmte
Anwendung aufgeteilt werden. Beispielsweise kann es 138 verfügbare Bytes
geben (einschließlich
11 Bytes der Protokollorganisation). Der Nachrichtenteil kann eine 2-Byte-Quellenadresse,
eine 2-Byte-Bestimmungsadresse, ein 1-Byte-Typenfeld, ein 1-Byte-Gerätestatusfeld,
ein 1-Byte-Längenfeld,
ein 0- bis 128-Byte-Nachrichtenfeld und ein 4-Byte-CRC-Feld umfassen,
welches zyklische Redundanzdaten bereitstellt: Beispielsweise enthält in einer
Verwendungsweise für
diese Felder das Quellenadressenfeld die Adresse des Sendegeräts. Das
hochrangigere Byte enthält
die Rückwandplatinen-ID (BPID), also die
Rückwandplatinenkennung,
und das niedrigrangigere Byte enthält die Schlitz-ID (SID), also
die Schlitzkennung. Beim Hochfahren erhält jeder Logiklöser über den
Schienenbus seine komplette QUELLENADRESSE (SOURCEADDRESS) von der
Steuerung. Der Rückwandplatinen-ID-Teil
(BPID-Teil) der QUELLENADRESSE ist gleich wie das niedrigwertigste
Oktett der ID-Adresse der Steuerung eingestellt. Der Schlitz-ID-Teil
(SID-Teil) der QUELLENADRESSE wird von den Schienenbusnachrichten
der Prozesssteuerung abgeleitet. Vorzugsweise kommuniziert (sendet
oder empfängt)
jeder Sicherheitslogiklöser
erst dann, wenn er eine vollständige
QUELLENADRESSE hat.Generally speaking, the data or message portion of a message can be divided into seven fields with a total length up to a maximum available length for a particular application. For example, there may be 138 bytes available (including 11 bytes of protocol organization). The message part can be a 2-byte source address, a 2-byte destination address, a 1-byte type field, a 1-byte device status field, a 1-byte length field, a 0 to 128-byte message field and a 4 -Byte CRC field include, which provides cyclical redundancy data: For example, in one use for these fields, the source address field contains the address of the sending device. The higher-order byte contains the backplane ID (BPID), which is the backplane identifier, and the lower-order byte contains the slot ID (SID), which is the slot identifier. Everyone gets logi when starting up The more complete his SOURCE ADDRESS (SOURCEADDRESS) from the control system via the rail bus. The backplane ID part (BPID part) of the SOURCE ADDRESS is set the same as the least significant octet of the controller's ID address. The slot ID part (SID part) of the SOURCE ADDRESS is derived from the rail bus messages of the process control. Preferably, each security logic solver only communicates (sends or receives) when it has a complete SOURCE ADDRESS.
Ein
Feld BESTIMMUNGSADRESSE (DESTINATION ADDRESS) kann die Adresse des
Bestimmungsgeräts
enthalten. Das hochrangigere Byte kann die BPID enthalten, und das
niedrigrangigere Byte kann die SID der Bestimmung enthalten. Das Feld
ART (TYPE) der Nachricht enthält
Information hinsichtlich der Art von Nachricht, die in diesem Nachrichtendatenfeld
enthalten ist. Es kann eine Anzahl unterschiedlicher Nachrichten
festgelegt werden. Das Feld GERÄTESTATUS
(DEVICE STATUS) kann auf geeignete Weise aufgeteilt werden, um beispielsweise
den Diagnosestatus (der keinen Fehler oder einen Fehler anzeigt),
den Umschaltstatus (der keinen Fortschritt oder einen Fortschritt
anzeigt), die Steuerungsbetriebsart (die eine normale Betriebsrat oder
eine Entwicklungsbetriebsart anzeigt), den Sicherheitsauslösungsstatus
(der nicht ausgelöst
oder ausgelöst
anzeigt), den Redundanzstatus (der nicht redundant oder redundant
anzeigt), den Konfigurationsstatus (der nicht konfiguriert oder
konfiguriert anzeigt), die Steuerungsart (die vom Logiklöser bestimmt
ist und anzeigt, ob er in Bereitschaft oder aktiv ist), und die
Betriebsart anzeigt (der Betriebsartwert kommt über den Bus von der Steuerung
und zeigt eine Entwicklungs- oder eine normale Betriebsart an).On
The DESTINATION ADDRESS field can contain the address of the
gage
contain. The higher-order byte can contain the BPID, and that
lower-order bytes can contain the SID of the determination. The field
Contains the ART (TYPE) of the message
Information regarding the type of message in this message data field
is included. There can be a number of different messages
be determined. The DEVICE STATUS field
(DEVICE STATUS) can be divided appropriately, for example
the diagnostic status (which indicates no error or an error),
the toggle status (of no progress or progress
displays), the control mode (which is a normal works council or
indicates a development mode), the security trigger status
(which didn't fire
or triggered
displays), the redundancy status (which is not redundant or redundant
displays), the configuration status (which is not configured or
configured displays), the type of control (determined by the logic solver
and indicates whether he is on standby or active), and the
Operating mode displays (the operating mode value comes from the controller via the bus
and indicates a development or normal mode).
Ein
Feld LÄNGE
(LENGTH) kann die Länge in
Bytes des anstehenden Felds NACHRICHTENDATEN (MESSAGE DATA) enthalten
und ist nachrichtenabhängig.
Ein Feld NACHRICHTENDATEN ist das Nutzdatenfeld der Nachricht, die
entsprechend der ART der Nachricht formatiert ist und eine von der Nachricht
abhängige
Länge hat.
Schließlich
berechnet sich noch das Feld CRC oder Cyclic Redundancy Check/Code
aus den Feldern QUELLENADRESSE, ART, GERÄTESTATUS, LÄNGE und NACHRICHTENDATEN und
ist auch nachrichtenabhängig.On
LENGTH field
(LENGTH) can be the length in
Bytes of the pending field MESSAGE DATA
and depends on the news.
A MESSAGE DATA field is the payload field of the message that
formatted according to the TYPE of the message and one of the message
dependent
Has length.
Finally
the field CRC or Cyclic Redundancy Check / Code is calculated
from the fields SOURCE ADDRESS, TYPE, DEVICE STATUS, LENGTH and MESSAGE DATA and
is also news-dependent.
Allgemein
ausgedrückt
kann die Steuerung, um eine Nachricht über den Bus 22 (1) zu verschicken, Busnachrichten
im Abschnitt DATEN eines Ethernet IEEE 802.3 Protokollpakets einschließen, die
zum Beispiel, einen 7-Byte-Datenvorlauf, einen 1-Byte-Bildstartbegrenzer,
eine 6-Byte-Bestimmungsadresse, eine 6-Byte-Quellenadresse, ein 2-Byte Feld Art/Länge, ein
46- bis 1500-Byte Datenfeld und ein 4-Byte-Bildprüffolgenfeld
umfasst. Bekanntlich beginnt das Bild mit einem 7-Byte-Datenvorlauf
aus abwechselnden Einsen und Nullen. Ist das Bild Manchester-codiert,
gibt der Datenvorlauf den Empfangsstationen ein bekanntes Muster,
an das sie sich anhängen.
Der Bildstartbegrenzer folgt auf den Datenvorlauf und kündigt den
Beginn des Bilds an. Die Bestimmungs- und Quellenadressen sind jeweils
allgemein irrelevant, weil die Empfänger in gemischter Betriebsart
auf Empfang stehen.Generally speaking, the controller can send a message over the bus 22 ( 1 ) to include bus messages in the DATA section of an Ethernet IEEE 802.3 protocol packet that includes, for example, a 7-byte data preprocessor, a 1-byte picture start delimiter, a 6-byte destination address, a 6-byte source address, a 2- Byte field type / length, a 46 to 1500 byte data field and a 4 byte image check sequence field. As is well known, the picture begins with a 7-byte data advance from alternating ones and zeros. If the picture is Manchester-coded, the data advance gives the receiving stations a known pattern to which they attach themselves. The image start limiter follows the data advance and announces the start of the image. The destination and source addresses are generally irrelevant because the receivers are in reception in mixed mode.
Das
Ethernet-Feld ART/das IEEE 802.3-Feld LÄNGE bedeutet das Protokoll,
das im restlichen Bild verwendet wird, und das Feld LÄNGE legt
die Länge des
Datenteils des Bildes fest. Damit Ethernet- und IEEE802.3-Bilder
gemeinsam auf demselben LAN vorkommen können, muss sich das Längenfeld
des Bildes immer von irgendwelchen verwendeten Artenfeldern unterscheiden.
Diese Tatsache schränkt
die Länge
des Datenteils des Bildes auf 1.500 Bytes und die gesamte Bildlänge auf
1.518 Bytes ein. Für
die Sicherheitslogiklöseranwendung
wird die Art Ethernet und die Länge
des Datenfelds die Größe der Nachrichten
sein. Das Datenfeld enthält
die Nachricht, die von einem Sicherheitslogiklöser oder einer Prozesssteuerung
verschickt wird. Nachrichten, deren Daten länge weniger als 46 Bytes beträgt, werden
aufgefüllt.
Bekanntlich sind die 4 Bytes des Bildprüfabfolgefelds ein standardmäßiges 43-bit-CCITTCRC-Polynom.
Natürlich
ist das nur eine Art von Nachrichtencodierung, die an Nachrichten
vorgenommen werden kann, die an und von Prozesssteuerungs- und Sicherheitssystemgeräte/n verschickt
werden können, wobei
klar wird, dass irgendein anderes beliebiges Nachrichtenformat statt
dessen verwendet werden kann, das in der Lage ist, Prozesssteuerungssystem- von
Sicherheitssystemgeräten
unterscheiden zu können.The
Ethernet field ART / the IEEE 802.3 field LENGTH means the protocol,
which is used in the rest of the image, and sets the LENGTH field
the length of the
Data part of the image. So that Ethernet and IEEE802.3 images
The length field must occur together on the same LAN
always distinguish the picture from any species fields used.
This fact limits
the length
of the data part of the image to 1,500 bytes and the entire image length
1,518 bytes. For
the security logic solver application
becomes the type ethernet and the length
of the data field the size of the messages
his. The data field contains
the message from a security logic solver or process control
is sent. Messages whose data length is less than 46 bytes will be
refilled.
As is known, the 4 bytes of the image check sequence field are a standard 43-bit CCITTCRC polynomial.
Naturally
this is just a type of message encoding that is attached to messages
that can be sent to and from process control and safety system devices
can be where
it becomes clear that some other arbitrary message format is taking place
that can be used that is capable of controlling process control systems
Security system devices
to be able to distinguish.
Während die
vorliegende Erfindung mit Bezug auf spezielle Beispiele beschrieben
wurde, die nur veranschaulichend für die Erfindung sein und sie nicht
einschränken
sollen, wird es für
den durchschnittlichen Fachmann offensichtlich sein, dass Änderungen,
Hinzufügungen
und Weglassungen an den offenbarten Ausführungsformen vorgenommen werden
können,
ohne dass dabei vom Aussagegehalt und Umfang der Erfindung abgewichen
würde.While the
present invention described with reference to specific examples
which are only illustrative of the invention and not it
restrict
should, it will for
be obvious to the average professional that changes,
additions
and omissions are made to the disclosed embodiments
can,
without deviating from the meaning and scope of the invention
would.